Dic 31 2009

image, mount, calculate hashes: examples

Tag: 01Joaquim Anguas @ 5:46 pm

I wish you all the best for 2010!

I’ve been working in an article related to serving search warrants and I thought the following examples may be useful. They cover imaging, mounting imaged drives and calculating hashes for every file in a drive.

CASE_ID identifies the case, LOCATION_ID identifies the location where the media was seized, MEDIA_ID identifies the media device and PARTITION_ID identifies each partition into the media.

Image

This is an example for dcfldd imaging. The command calculates the MD5 hash on the fly.
See here for options’ reference.

ubuntu@ubuntu:~$ date; sudo dcfldd if=/dev/sdc of=/media/disk/CASE_ID/LOCATION_ID/MEDIA_ID.dd conv=sync,noerror hashwindow=0 hashlog=MEDIA_ID_md5.txt; date

Thu Nov 16 13:18:22 UTC 2009

4883968 blocks (152624Mb) written.
4884090+1 records in
4884091+0 records out

Thu Nov 16 15:26:34 UTC 2009

Continue reading “image, mount, calculate hashes: examples”


Dic 15 2009

COFEE vs. DECAF

Tag: 01,Informática LegalJoaquim Anguas @ 7:48 am

COFEE is a set of tools packaged into an USB drive oriented to ease the task of first strike computer evidence collection distributed by Microsoft through INTERPOL to law enforcement agencies worldwide.

It slowly made its way to the public, getting widespread when last month showed up on the web through Cryptome.

In an exercise of posing, a group of “hackers” two average joes have released antiforensics software called DECAF dedicated to reduce or kill COFEE’s effectivity.

“We want to promote a healthy unrestricted free flow of internet traffic and show why law enforcement should not solely rely on Microsoft to automate their intelligent evidence finding” they declared to theregister.

Not to offend, but I say it’s an exercise of posing because this action in no way “promotes healthy unrestricted free flow of internet traffic” and recognising they may have a point in the reliance in Microsoft of law enforcement in the automation of their evidence collection, the fact is that in most cases it’s in Microsoft realm where evidences live and early, easy evidence collection is better than no evidence at all.

In any case, if they have concerns relating this product, which they may perfectly have, they’d better raise them disclosing the implications so everybody can balance the convenience of using COFEE or not.

At this point, some of you may be thinking I forgot to link to DECAF.

No, I din’t forget and neither did the guys at theregister or Wired…

Via theregister.


Jun 08 2009

Evaluación de la posición en litigio

Tag: Informática LegalJoaquim Anguas @ 4:57 pm

El pasado viernes tuve la oportunidad de debatir con otros peritos ingenieros en informática al respecto de la prueba informática extensiva relativa a encargos de desarrollo / implantación de sistemas informáticos.

Estaba reflexionando acerca de la dificultad probatoria que representa para el cliente este tipo de casos (en concreto incidía en la mayor facilidad del proveedor para desmontar la prueba del contrario), cuando uno de los peritos presentes, un perito muy notable y de gran experiencia, presentó un dato interesante: en todos los casos en los que había participado como perito dentro de la tipología que discutíamos, había resultado condenado el proveedor.

Hice entonces un comentario sin pensar, del que me arrepentí inmediatamente: el proveedor no había tenido en su lado a un perito ingeniero en informática de suficiente nivel. Y digo que me arrepentí porque me di cuenta de que en alguno de los casos dicho perito había estado en el lado del proveedor y que aun así había perdido.

Y es que aunque la prueba informática es muy importante en estos casos, no es un hechizo infalible. El abogado debe valorar su capacidad de prueba y diseñar su estrategia de litigio en consecuencia. La evaluación de la posición en litigio, eso que parece tan sencillo, a veces es casi imposible. A la dificultad de objetivizar algo totalmente subjetivo se suma la reticencia de clientes y/o abogados a escuchar que tienen una alta probabilidad de perder el caso.

En el futuro tendría que elaborar una estadística al respecto.

Lo que no podré saber es el posible resultado de aquellos casos en los que, ante mis recomendaciones, se prefirió no litigar.


Abr 07 2009

Abstraction layers in computational semiotics

Tag: Computing, Signs and ReasoningJoaquim Anguas @ 6:11 pm

Computational semiotics is often related to semiosis or semantics, but less to pragamatics.

Within the area of study I am interested in, it is relevant how computational signs construct a meaning you can derive high level facts from. So semiosis, semantics, but pragmatics as well, are involved.

In computation, facts are observed by accessing data stored in computational means. Data is stored in different ways, but it generally materializes in the form of bits as the minimum sign unit.

Common storage media are hard disk drives, optical media or RAM-like. Those media store bits in different ways: a magnetic field on the coating of a disk, “holes” on the optical layer of a resin disk or electrons into memory cells.

The equivalent of finding a cigarette butt in a crime scene would be to observe these signs directly. But we don’t use to get facts from this kind of signs.

Continue reading “Abstraction layers in computational semiotics”


Abr 06 2009

Expert witness, computing and presumptions

Tag: Computing, Signs and ReasoningJoaquim Anguas @ 4:56 pm

I start a series of posts related to legal reasoning and computational semiotics.

This post informally analyzes and puts into context the argumentation and generalization elements used by expert witness in computing, taking into account their relationship with computational semiotics.

If semiotics is the science of signs, computational semiotics is the branch of semiotics that studies signs supported by computational means.

Expert witness in computing, derive assertions from computational signs and argumentation methods.

While it could be thought that expert witness provide feasible assertions, the fact is that, in the field of computing, often many plausible options coexist. Expert witness use informal logic approaches like non-monotonic abductive reasoning to identify the best explanation that satisfies coherence with all other known facts.

Continue reading “Expert witness, computing and presumptions”


Feb 17 2009

Copia forense de datos

Tag: Informática LegalJoaquim Anguas @ 5:06 pm

Ayer estuve en un juicio en el que actuaba como perito. El fiscal me requirió para que delante de la juez realizase diferentes comprobaciones sobre una serie de archivos que había capturado durante una diligencia de entrada y registro.

Cuál fue mi sorpresa cuando al solicitar el CD que adjuntaba mi informe, me entregan un CD que supuestamente era una copia exacta del juzgado.

Después de capturar los datos con todas las garantías, con hashes en el CD y el informe, con instrucciones para comprobar que los ficheros no se han modificado, etc, al final resulta que la copia que llega al juzgado es una realizada sin garantías y que actualiza la fecha de modificación de los ficheros.

Suerte de la metadata…

Nota mental: añadir en cada CD el siguiente texto “NO REALIZAR COPIAS DE ESTE CD SIN LA SUPERVISIÓN DE UN PERITO INGENIERO EN INFORMÁTICA”.