Lior Wrote:Que bueno jopi!Por favor ...
¿Puedo copipastearlo allende los mares?
MMG Wrote:¿Es habitual que una fecha de creación esté en el futuro? Entiendo que es factible, pero ¿es normal?Cuando copias archivos entre discos de forma asidua (p.e., cuando intercambias con colegas muchos documentos, películas descargadas en Internet, mp3, etc.) es algo totalmente normal. Una cosa que suele pasar con los pendrive es que al estar formateados en FAT, muchos archivos copiados en ellos tengan fechas totalmente dispares.
Sin saber del tema y basándome en lo que comentas, yo hubiera pensado más bien que algunos ficheros se sacaron como imágen (con fechas de creación anteriores al 3-3-04), y otros se volcaron (con posibles fechas posteriores). En definitiva, sin saber qué ficheros, qué fechas, de qué soportes, con qué técnicas de recuperación, tanto A.Selene como nosotros estamos expuestos a especular en el aire. Cosa que a los peónidos les encanta, pero a mi no tanto jejej.
Leyendo la página de Selene, Areán (creo) ha hecho una reseña muy adecuada : el perito encargado del análisis no tiene porque ser el encargado de la extracción y recopilación de datos original.
Me explico. En mi caso, cuando es necesaria una pericial, el técnico forense (para el caso, yo mismo), indico en presencia de un notario, que en fecha y hora determinada realizo la imagen del dispositivo físico que contiene los datos. Para ello se suelen usar herramientas informáticas muy especializadas (Encase es la más usada por las diferentes policías de todo el mundo), que tras hacer la imagen, devuelven un "hash", que es una cadena de tamaño fijo que se devuelve como salida de una función matemática; esta cadena tiene la propiedad de actuar como firma única del contenido del archivo, es decir, que solo ESE contenido clonado y ningún otro, puede devolver ese valor de cadena. De esa forma se asegura que no se puedan "inventar" datos, y el notario da fe de que, desde ese momento, se trabajará con los datos de la imagen realizada.
Tras ese proceso, se empieza a trabajar con los datos de la imagen. !Ojo! Ahora no tiene que ser la misma persona la que analice los datos, es más, la persona que analiza los datos puede no tener ni la más remota idea de como se ha hecho la extracción original. Desde este punto, los datos se pueden pasar a disco, a cdrom, a pendrive, diskette ... lo que se quiera. ¿Que alguien duda de que una mano negra está inventándose pruebas? Solo hay que ir al disco original, repetir el proceso de clonación, y comparar la salida de dicho con la firma digital de la función de hash que habíamos realizado originalmente.
Y solo una nota más con respecto al insulto típico de quien tiene una imagen derivada de ver demasiado CSI llamando a los técnicos de las fuerzas de seguridad del Estado "peritos chapuzas". En España solo tengo constancia de una (sic) sola empresa especializada en análisis y extracción de evidencias digitales forenses, en la que solo hay dos técnicos trabajando. Luego hay tres empresas más, un operador de telecomunicaciones y dos consultoras de seguridad, que tienen técnicos forenses especialistas. Me consta que la Guardia Civil tiene UN analista forense especializado. Pues bien, esos son TODOS los técnicos de auditoría especializados en análisis forense que hay en España, sin contar a un servidor.
A menos, claro, que el señor Selene se ofrezca voluntario...