MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
SOFTWARE LIBRE Y SOFTWARE COMERCIAL EN LABORATORIOS FORENSES
Febrero 2016
Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
1
MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
Tabla de contenido INTRODUCCION ................................................................................................................................ 3 LABORATORIOS DE ANALISIS DIGITAL FORENSE............................................................................. 3 Laboratorios de Investigación Forense ........................................................................................ 4 Laboratorios de Práctica Forense ................................................................................................ 5
Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
2
MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
INTRODUCCION Es de dominio público que durante muchos años se discute en diferentes ámbitos la implementación de software libre con el fin de reducir gastos y basándose en las aparentes ventajas que brindan aquellas licencias que permiten al usuario estudiar, modificar y mejorar el diseño del software mediante la disponibilidad del código fuente. Trasladando la discusión a los antecedentes provinciales respecto del software libre y su aplicación en la administración pública, encontramos la Ley 12.360 del 2004 que establece que los poderes ejecutivo, legislativo, y judicial, los organismos descentralizados y las empresas donde el estado provincial posea mayoría accionaria emplearán en sus sistemas y equipamientos de informática preferentemente software libre. Luego, la Ley 13139 del 2010, modifica la primera y permanece hasta la fecha sin diferencias, incluso no se ha reglamentado. Surge a partir de la legislación provincial la necesidad de migrar, lo que en muchos casos se tradujo en la instalación exclusivamente de una distribución del sistema operativo Linux, no teniendo en cuenta otros sistemas operativos libres. Se continuó instalando distribuciones obsoletas hasta la actualidad por ser consideradas por los funcionarios técnicos como sistema operativo estable sin tener en cuenta vulnerabilidades, actualizaciones críticas, debilidades, etc. La consecuencia de este tipo de prácticas genera brechas de seguridad cuyas métricas prevén vulnerabilidades que provocan pérdidas en el bien más importante para un gobierno: la información. Ante la constante actualización, cambio y aparición de nuevas tecnologías, se hicieron notorias las falencias arrastradas por las incalculables líneas de código abierto que conforman los sistemas populares, debido a lo cual, en la actualidad regresa a las mesas de discusión de los más calificados si el costo/beneficio de la implementación de software libre representa algún tipo de ganancia para el futuro. En conclusión, es valorable la libertad ofrecida por el software libre, que sin lugar a dudas permite su difusión entre innumerables oficinas del Estado, reduciendo gastos en licencias y paquetes de software que cumplen funciones que no implican riesgos como por ejemplo: suite de ofimática, lectores de PDF, software de edición de imágenes y videos para áreas no especializadas, etc. Sin embargo, es completamente discutible la productividad de una oficina de arquitectura, ingeniería civil, etc. que hacen uso de software comercial específico cuyas funciones no fue posible, con el paso del tiempo, cubrir por medio de software libre.
LABORATORIOS DE ANALISIS DIGITAL FORENSE En el ámbito forense estatal, enfocando el objeto de análisis en las fuerzas de seguridad, no se ha comprobado que la implementación de software libre cubra los requerimientos científicos a los que se somete cada actividad pericial. Es posible considerar el área de especificidad como parte de las excepciones a que hace referencia la Ley 13139 que requiere informarse y justificarse técnicamente. Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
3
MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
Es interesante el texto del siguiente artículo: “Artículo 9.- Informe de riesgos. Si cualquier dependencia u organismo provincial fuera autorizado en forma excepcional para adquirir o utilizar programas o software “no libres” para almacenar o procesar datos cuya reserva sea necesario preservar, fueren confidenciales, críticos o vitales para el desempeño de la administración provincial, la Autoridad de Aplicación debe publicar, por los medios que determine la reglamentación, un informe donde se expliquen los riesgos asociados con el uso de software de dichas características para esa aplicación en particular.” Del mismo modo, la apreciación de investigadores que realizaron un análisis de datos y encuestas para determinar el estado en que se hallaba la implementación de Software Libre en la Administración Pública provincial publicado en 2014 (Simposio Argentino de Tecnología y Sociedad 2014 - 43 JAIIO - STS 2014 - ISSN: 2362-5139 - Página 207): “[…] el reclamo de falta de capacitación técnica de los sectores. También queda en evidencia la ausencia de repositorios comunes de software, falta de conocimiento sobre los alcances de la Ley N° 13139/10, escaso conocimiento acerca de la importancia de licencias de software y cuáles pueden utilizarse dentro del estado.” Teniendo en cuenta que, tanto en la ley, como en diferentes relevamientos realizados en la Provincia de Santa Fe, no se plantea la situación del ámbito científico, por ejemplo del Ministerio de Salud provincial o bien, el objeto de estudio de este documento: el sector técnico forense en general del Ministerio de Seguridad, es factible proponer lo siguiente: Dotar a los laboratorios forenses de los equipos de hardware y software comercial destinado al funcionamiento de los mismos provistos en conjunto. Integrar software libre para las tareas administrativas de documentación y registro de información propia de la gestión de las áreas científico-técnicas. Infraestructura administrativa acorde a la establecida por el Gobierno de Santa Fe.
Laboratorios de Investigación Forense Las universidades y/o centros de estudios públicos y privados así como diversos organismos sin fines de lucro, por lo general, cuentan con proyectos de investigación tecnológica orientados al estudio del ciclo de la seguridad informática (prevención, detección y análisis forense). Los resultados alcanzados tras la inversión destinada a la investigación por parte de personal especialista luego son volcados a la práctica en diferentes ámbitos, en muchos casos, estatales que requieren de apoyo y colaboración. Tal es el caso de la Universidad Nacional de Rosario que mediante un convenio firmado con la Corte Suprema de Justicia provincial vigente desde 2007, presta servicios en las especialidades de estudio con las que cuenta. En un laboratorio de investigación no es necesario contar con software comercial, se encuentra orientado a determinar paso a paso cómo se producen los resultados desde el punto de vista técnico, documentando detalladamente las operaciones efectuadas durante la actividad desarrollada con el fin de analizarla. Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
4
MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
Debido al escaso tiempo con el que cuentan los laboratorios de práctica forense del Ministerio de Seguridad se hace complejo, cuasi imposible, destinar personal y recursos para investigación y determinación del punto en que se encuentra el estado del arte. Apoyado por este hecho, es completamente válido efectuar convenios con las entidades públicas y privadas con el fin de recibir colaboración tal como lo describe la Ley 13139. Por ejemplo: un laboratorio de investigación, como el de la Escuela de Electrónica de la UNR se dedica a estudiar, probar y reproducir, tantas veces como se requiera, diferentes técnicas forenses basadas en los estándares a los que se habrá de adaptar la actividad trasladada a la práctica. Toda teoría comprobada se han ofrecido para su aplicación durante 2015 a la Dirección General de Policía de Investigaciones que cuenta con facultadas para establecer convenios beneficiándose por ese medio sus las oficinas análisis digital forense y posibilitando al personal la capacitación continua. El desarrollo de hardware local fue el último logro, contando con continuidad para el ciclo 2016. Se estableció un programa de capacitación por medio de la Escuela del Ministerio Público de la Acusación para fiscales y operadores judiciales con el fin de actualizar sus conocimientos referentes a seguridad informática aplicada y análisis digital forense asistida por los equipos forenses provistos por la Provincia de Santa Fe al Ministerio de Seguridad de la Provincia destinados a agilizar la respuesta ante requerimientos periciales y ajustarse al dinamismo del nuevo sistema judicial santafesino.
Laboratorios de Práctica Forense SOFTWARE COMERCIAL APLICABLE: Actualmente el “lenguaje” comprendido por el hardware y software de las fuerzas de seguridad nacionales y de las diferentes provincias argentinas está representado por archivos de evidencia digital interpretados por dispositivos como: UFED, XRY y programas como: XAMN, FTK, ENCASE, IEF, IBM i2, entre otros, que permiten dar continuidad a investigaciones en las que intervienen fuerzas locales, nacionales e internacionales. En Argentina, la Policía Federal fue pionera en la incorporación de herramientas como las enumeradas, seguida por la Gendarmería Nacional, Prefectura Naval, Policía de Seguridad Aeroportuaria y luego diferentes policías provinciales. En el ámbito internacional es conocida la aplicación de estos instrumentos, equipos y software forense por parte del Federal Bureau of Investigation, en América, la Policía Metropolitana de Londres “Scotland Yard” y la Police Nationale de Francia, entre otras fuerzas de seguridad europeas. Ejemplo reciente: investigación local de la ciudad de Rosario, en el que participó la Sección Análisis Digital Forense, obteniendo toda la información permitida hasta el momento por el hardware y software disponible provisto por el Ministerio de Seguridad provincial durante el inicio de la investigación. Para tratar de agotar las posibilidades, la fiscalía actuante solicita colaboración a un laboratorio forense de la Provincia de Entre Rios, luego se envian las piezas de evidencia a laboratorios forenses del FBI desde donde los resultados provistos fueran remitidos en archivos decodificados por medio de la herramienta forense UFED, con la que la Provincia de Santa Fe cuenta por medio de la Corte Suprema de Justicia haciendo posible trabajar con el material Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
5
MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
recuperado independientemente del actor que formó parte de la cadena investigativa. Concluyendo en que si bien el software comercial implica grandes erogaciones para el Estado, significa un punto de ventaja que permite interactuar hablando un mismo “lenguaje” como se expresara metafóricamente en el primer párrafo del presente apartado. Desde el punto de vista del software libre, contando con una amplia diversidad de software este tipo de colaboración se transformaría en una utopía, comparable a una torre de Babel. Cabe recordar que el volumen de evidencia procesada por un laboratorio forense en general del Ministerio de Seguridad: biológico, balístico, genético, de rastros, etc., no se compara bajo ningún punto de vista con la cantidad de casos procesados por peritos de parte, quienes impulsan la migración a software libre con el argumento de contar con igualdad de condiciones a la hora de realizar el análisis, así como lo expuesto por otros referentes, acerca de una política de Software Libre como propuesta económicamente viable, socialmente responsable y tecnológicamente soberana; este último punto, lamentablemente no es compatible con la realidad argentina como se justifica más adelante en el texto. Las fuerzas de seguridad y la Justicia responden solicitudes con los plazos legales reducidos según las exigencias del proceso de investigación previsto por el nuevo sistema judicial de la provincia, la cantidad de investigaciones abiertas a las que se debe dar seguimiento y el incremento de controles aplicados sobre el trabajo de fiscales y técnicos hace más que evidente la necesidad de acelerar las respuestas por parte de las herramientas forenses con el fin de dar paso al trabajo del siguiente actor en la cadena de acciones. Si bien las herramientas comerciales agilizan el feedback entre MPA y Ministerio de Seguridad, es totalmente válido desplegar un abanico de software libre probado y aceptado por la comunidad pericial de fuerzas de seguridad en actividad a febrero de 2016. Algunas de ellas se listan a continuación: SOFTWARE COMERCIAL FORENSE ENCASE FORENSIC FTK TOOLKIT INTERNET EVIDENCE FINDER MOBILEDIT OXYGEN FORENSICS OSFORENSICS
HARDWARE Y SOFTWARE FORENSE XRY & XAMN UFED en sus modelos y versiones
SOFTWARE LIBRE FORENSE DISTRIBUCIONES DE LINUX ADAPTADAS A FUNCIONES FORENSES: DEFT - DIGITAL EVIDENCE & FORENSICS TOOLKIT, KALI, BACKBOX, CAINE SOFTWARE: AUTOPSY THE SLEUTHKIT DIGITAL FORENSICS FRAMEWORK […] infinidad de pequeños programas No existen herramientas de hardware + software libre que permitan decodificar y extraer evidencia digital de dispositivos móviles actualizable que mantenga el ritmo del cambio tecnológico
Todo software libre existente actualmente es integrado de facto en los laboratorios de informática forense de todo el mundo, independientemente de si se trata o no de fuerzas de seguridad, sin embargo, son complemento de las herramientas forenses comerciales que mantienen su actualización a la vanguardia en la carrera tecnológica del mercado real. A los fines prácticos y de resultados no caben opciones posibles a la fecha de redacción de este documento. Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
6
MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
COMPARATIVA (no se describe técnicamente cada expresión con el fin de facilitar la lectura) SOFTWARE COMERCIAL SOFTWARE LIBRE ACTUALIZACIONES PERMANENTES (en dispositivos forenses las DEPENDIENTES DE LA COMUNIDAD DE USUARIOS actualizaciones se realizan en algunos casos hasta dos (una vez al año en caso de comunidades activas) veces por mes, variando según la incorporación de nuevos controladores y detección de nueva tecnología) SOPORTE TECNICO RESPUESTA INMEDIATA O DENTRO DE LAS 24 REQUIERE RECORRER FOROS O SUSCRIBIRSE A HORAS DE CREADO EL TICKET DE CONSULTA LISTAS DE CORREO DE OTROS USUARIOS OPERADORES DISPONIBLES TELEFONICAMENTE
VIA
MAIL
O
RESPUESTAS CON ESPERAS DE UN MES A UN AÑO
SOLUCIONES A PROBLEMAS DE SOFTWARE TECNICOS EN ARGENTINA QUE REALIZAN VISITAS DEPENDIENTES DE LA BUENA VOLUNTAD DEL PERIODICAS DE CONTROL O VISITAS A DESARROLLADOR INDEPENDIENTE REQUERIMIENTO DEL CLIENTE CONTRATOS EMPRESAS ASUMEN RESPONSABILIDAD DE LA LICENCIA LIBERA AL DESARROLLADOR DE TODA RESPUESTA CON PLAZOS ACEPTADOS MEDIANTE RESPONSABILIDAD SOBRE LA FUNCION A LA QUE SE CONTRATOS QUE RESPALDAN EL SERVICIO DESTINE EL SOFTWARE NO EXISTEN CONTRATOS O CONVENIOS QUE OBLIGUEN A PRESTAR SERVICIO DE SOPORTE SEGURIDAD DE LA EVIDENCIA EL EQUIPO FORENSE PERMITE DECODIFICAR Y REQUIERE LA MANIPULACION DE LA EVIDENCIA EXTRAER INFORMACION DEL DISPOSITIVO A BAJO LA RESPONSABILIDAD DEL TECNICO PROCESAR TRABAJANDO DENTRO DEL AMBIENTE INCORPORANDO EL RIESGO DE LA TAREA MANUAL PROVISTO POR LA HERRAMIENTA REGISTRANDO QUE IMPLICA EL FACTOR HUMANO COMO AUTOMATICAMENTE CADA ACTIVIDAD APLICADA, VULNERABILIDAD. INCORPORANDO LOS REGISTROS A CADA INFORME DEBE SER DOCUMENTADA PASO A PASO DE FORMA TECNICO QUE PERMITE EXPORTAR A DIVERSOS MANUAL FORMATOS CON EL FIN DE FACILITAR LA LECTURA LOS INFORMES TECNICOS SON REDACTADOS POR DEL OPERADOR JUDICIAL EL PERITO A CARGO DEL PROCESAMIENTO DE LA EVIDENCIA CON EL CONSIGUIENTE RIESGO DE POSIBLES ALTERACIONES DE LA INFORMACION. TIEMPO DE PROCESAMIENTO REDUCIDO TIEMPO DE PROCESO TIEMPO DE PROCESO DEPENDIENTE DEL Las herramientas comerciales presentan una interface OPERADOR sencilla y amigable que permite al operador técnico y no No es posible ser operado por personal no técnico o técnico seguir los pasos propuestos por la herramienta técnico sin capacitación previa que incorpore llegando a la obtención de resultados en poco tiempo y con conocimientos de sistemas de hardware y desarrollo de la automatización suficiente posibilitando el procesamiento software. Requiere creación de scripts y no cuenta con de varias piezas de evidencia a la par. guías de uso incorporadas. El operador debe registrar cada tarea con el fin de redactar los informes técnicos y finalmente el informe pericial. DESCRIPCION TECNICA DE LAS FUNCIONES DE SOFTWARE Y HARDWARE CADA DISPOSITIVO Y SOFTWARE FORENSE CUENTA REQUIERE MANIPULAR EL DISPOSITIVO A CON MANUALES DETALLADOS DESCRIBIENDO LAS PROCESAR DEBIDO A QUE NO EXISTEN EQUIPOS DE FUNCIONES DE LA HERRAMIENTA. HARDWARE LIBRE FORENSE QUE PERMITAN AISLAR Es posible reproducir la operación por parte de diferentes EL SISTEMA ANALIZADO Y CONTINUA REGISTRANDO dependencias forenses varias veces y comprobar que la LAS ACTIVIDADES DESARROLLADAS SOBRE ÉL evidencia permanece sin modificación PARA LA OBTENCION DE LA INFORMACION ALOJADA EN EL EQUIPO PERITADO. SE PRODUCE LO EXPLICADO EN EL APARTADO DE SEGURIDAD
Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
7
MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
SOFTWARE LIBRE APLICABLE: Todo laboratorio de análisis digital forense cuenta con herramientas de software libre que complementan las tareas cotidianas. Este tipo de software se utiliza tras la decodificación y extracción de la evidencia digital alojada en los dispositivos a peritar, por lo general no se aplican para la extracción de información, salvo en casos que se requiera generar imágenes de dispositivos de almacenamiento, casos en que luego es posible analizar por diferentes medios esa imagen. También es posible la aplicación de técnicas de file carving, entre otras, utilizando software libre, siempre contando con suficiente tiempo como para que el operador pueda dedicarse exclusivamente al análisis de un dispositivo. Desde los comienzos del 2000, los técnicos buscaron respuesta a los problemas cotidianos probando todo tipo de software que agilizara la tarea pericial con el fin de procesar rápidamente las solicitudes del Poder Judicial y la deficiencia encontrada, en la mayoría de los casos, fue la obsolescencia y desactualización del software. Cuando no existen herramientas de software libre que permitan cubrir las funciones que proveen las comerciales, el técnico infringe la ley utilizando software “pirateado”. Por lo general, el desconocido que efectúa el “crackeo” del sistema no realiza el trabajo gratuitamente: integra y camufla malware, puertas traseras, etc, siendo imposible analizar cuántas variantes pudiera haber agregado en el sistema manipulado, atentando contra la seguridad en el laboratorio, implicando, en el menor de los casos, una masiva infección del sistema local, la red e incluso la evidencia a procesar, la que, sin lugar a dudas, más allá de las discusiones técnicas y luego filosóficas respecto del software libre y su costo/beneficio, en este caso representa la contaminación potencial de la evidencia digital procesada causada por las restricciones existentes en el software libre disponible que impulsan al técnico a buscar otras soluciones a problemas presentados en la investigación forense, si el estado no legitima las licencias obtenidas ilegalmente por medio de la descarga de warez [material distribuido que viola las leyes y derechos de autor]. Estado del Software Libre aplicable a análisis digital forense en Febrero 2016 Distribuciones adaptadas a forensics que mantienen actualización del sistema según mediciones de DistroWatch
Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
8
MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
Los antecedentes conocidos en Argentina de una distribución de Linux Forense local se remonta a “HUEMUL” disponible aún en centrux.org sin embargo se produce lo que fuera expresado, falta de continuidad, investigación y actualización. La última fecha de actividad es Abril 2015, fecha en la que presentaba problemas la descarga de paquetes (no pudiendo instalarse en disco) de Debian en la que se basa la distribución local. Es posible correr la versión “Live” de HUEMUL, sin embargo, requiere como todas las versiones live de actualización en el momento de uso, lo que dificulta el uso del software, aportando impedimentos para el proceso rápido de la evidencia. Actualmente, febrero de 2016, no se encuentra en la página oficial http://www.centrux.org/huemul/ un link de acceso a descarga de una versión AMD64/Intel 64 bits, lamentablemente, los equipos disponibles, tanto laptops como PC de escritorio, ya no se ajustan a software 32 bits.
Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
9
MINISTERIO DE SEGURIDAD P O LI C I A D E I N V E S T I G A C I O N E S D E S A N T A F E DIRECCIÓN DE INTELIGENCIA CRIMINAL ESTRATÉGICA S E C C I Ó N A N ÁL I SI S D I G I T A L F O R E N SE
RESUMEN FINAL Considero oportuno profundizar las relaciones con fuerzas de seguridad que se encuentran a la vanguardia en tecnología que en muchos casos ofrecen libre acceso a software que, siempre que quien lo solicite forme parte de una fuerza de seguridad, recibe una licencia provista por FBI, EUROPOL, INTERPOL, etc., permitiendo la creación y gestión de fuentes de información locales, cuyos informes y resultados posibilitan su intercambio de forma globalizada.
ROSARIO, 05 de Febrero de 2016
Instituto Médico Legal – 3 de Febrero 4101 – Tel: 0341-4234253 – Mail:
[email protected] Ing. María Eugenia Casco – ICIE 2-4037-1
10