Peritaje Informático
Software para Auditoría de Software
Ago 24
Los motivos por los que puede ser necesaria una auditoría de software en una empresa pueden ser de lo más variopinto, desde un simple control rutinario como parte del cumplimiento del control 15.1.2 sobre derechos de propiedad intelectual, pasando por una actividad programada como política de la organización o por un peritaje en busca de software pirata.
Cuando surge la necesidad de realizar la auditoría de este tipo, son varios los factores que se han de tener en cuenta de cara a la selección del producto más adecuado. Estos factores, entre otros, pueden ser:
- Parque de PCs: Número de PCs objeto de la auditoría
- Privilegios sobre los PCs a Auditar: Si el responsable de realizar la auditoría dispone de privilegios de Administración y en tal caso, si la instalación por defecto de cada PC dispone de un password de administración único por cada PC.
- Impacto en PC auditado: se ha de considerar si el impacto sobre el PC auditado debe ser mínimo.
Si trasladamos esto a nuestro caso, las respuestas a las cuestiones anteriores se traducen en:
- Parque de PCs: Desconocido. el auto no reflejaba el número de PCs a investigar. Recopilando información por internet traté de construirme una imagen mental de cómo sería y existía la posibilidad de verme desbordado por lo que recurrí a un compañero del Cuerpo Oficial de Peritos para que me acompañase lo que sin duda ha redundado en un trabajo de campo mucho más eficiente.
- Privilegios sobre los PCs a Auditar: Desconocido. La configuración de los PCs nos era desconocida también.
- Impacto en PC Auditado: Mínimo. Para el desarrollo de una pericia de este tipo se debe mantener el sistema impoluto, como no es posible, hay que ejecutar un programa que alterará los procesos, la memoria, creará un informe que se grabará en el disco duro, etc… hay que minimizarlo al máximo.
Ante esta definición de requisitos vamos a ver algunas de las posibilidades que nos ofrece el mercado para generar informes de las aplicaciones instaladas en los PCs de la organización.
- Network Inventory Expert: Esta aplicación nos va a permitir extraer el software de cualquier PC de la organización que disponga de una contraseña conocida por quien lo ejecuta. Precisa Instalación en el PC del administrador pero no en el resto de PCs de la organización. De pago.
- Total Network Inventory: Del corte del anterior, son programas diseñados para un seguimiento cómo del inventario ya que permiten extraer informes muy detallados de forma remota con la instalación del software en único PC. De pago.
- WinAudit: Inventario muy completo del PC, Incluido el Software, pero no los Product Keys. El problema que tiene es que hay que ejecutarlo PC por PC, pero por contra es Stand Alone. Freeware.
- Softkey Revealer: Esta herramienta no es como las demás, está diseñada expresamente para extraer los product key de una larga lista de productos comerciales por lo que es el complemento perfecto a Winaudit en caso de necesitar esta información. Freeware
- Everest: Herramienta de inventariado hardware y software muy profesional con posibilidad de instalación StandAlone. A pesar de ser comercial, su precio es bastante asequible.
- Microsoft Assessment and Planning Toolkit: Este software me ha sorprendido por su cantidad de opciones, con un proceso de instalación bastante largo precisa de un gestor de base de datos que se descarga durante la instalación donde almacena el inventario. Permite la recolección vía protocolos de red de windows y recolección por IPs, además es gratuito.
- Muchas más: GASP, Free PC Audit, y un larguísmo etcétera tanto de pago como freeware.
Finalmente nuestra opción fue Everest y como alternativa llevábamos la dupla Winaudit + softkey revealer que son herramientas no comerciales. Elegimos Everest ya que permite una instalación en modo stand-alone y además del software, incluida información sobre product keys, nos ofrecía información sobre el hardware de manera que teníamos una prueba más sobre los PCs examinados.
Pero esta búsqueda sin duda nos ha reportado algo más que el software que escogimos, nos ha dado una perspectiva de cómo se puede gestionar cómodamente el inventario de software en organizaciones con un parque de PCs elevado manteniendo una buena política de configuración de los PCs cuando éstos se ponen en uso (Incluyendo un usuario Administrador con contraseña robusta). Esto permite de forma sencilla la ejecución de una tarea de chequeo que nos dará desde el puesto de administración todos los informes de forma automática.
Un saludo.
Peritaje: En busca de SW Pirata, la Auditoría de SW
Ago 11
No hay ninguna duda de que Microsoft ha hecho mucho por nosotros, quien lo ponga en duda sólo tiene que pensar cual fue su primer S.O., qué editor de textos utiliza actualmente o qué emplea para hacer presentaciones profesionales cuando tiene que impartir alguna clase o realizar alguna ponencia, por poner algunos ejemplos. Sin embargo, todas estas ventajas se han conseguido a costa de un alto precio, la pérdida de la percepción de lo que realmente hacemos al instalar un software propietario pirata. Estamos robando, si señores, no se nos ocurriría ir a un supermercado y llenarnos los bolsillos de bolsas de pipas, pero es que instalar un software pirata resulta extremadamente sencillo y total… si nadie me va a buscar, ¿o si?.
El mes pasado, acompañado del secretario judicial, el procurador y un compañero de profesión nos dirigimos a la sede de una empresa con objeto de realizar una auditoría de software por una denuncia anterior de las empresas Autodesk, Microsoft, Adobe y Symantec. Aquí está mi experiencia.
Una vez nos encontramos en la empresa, el secretario judicial solicitó la presencia del gerente, quien rápidamente apareció por el hall y se prestó a todo lo que necesitábamos. Tras exposición de lo que había ocurrido al Gerente, nos dispusimos a realizar nuestro trabajo, que básicamente según rezaba el auto se reducía a una Auditoría de Software en la que se obtuvieran determinadas propiedades del software instalado, entre las que se encontraba, como no, el serial o product key del producto.
Solicitamos inspección visual de las instalaciones con objeto de hacer un conteo de los PCs y, por ende poder dar una estimación de la duración de la intervención. Una vez estimado el volumen de PCs y el tiempo se lo transmitimos al secretario judicial que debe estar presente durante toda la intervención como fedatario del procedimiento seguido por el perito.
Comenzamos pues la actuación y fuimos realizando las siguientes acciones:
- Extracción de listado de programas instalados en cada PC y su fecha de creación
- Extracción de listado de programas instalados en cada PC y su fecha de último acceso
- Ejecución de una herramienta automática Stand Alone que extraía todos los datos solicitados por los demandantes (Me reservo para un post posterior la exposición de las alternativas posibles para este objetivo)
- Fotografiar las posibles licencias que encontráramos en forma de pegatinas adheridas a cada uno de los PCs
- Fotografiar la pestaña General y Nombre de Equipo de cada PC
- Construir un mapa con la ubicación física de cada uno de los PCs examinados
Antes de nada pusimos al corriente al gerente de la empresa, ya que el responsable de sistemas estaba de vacaciones, de cuáles iban a ser nuestras actuaciones y qué íbamos exactamente a extraer de cada uno de los PCs corporativos.
Nada más comenzar la situación se volvió algo tensa dado que a nadie le gusta que le toquen sus… sistemas. Salimos bien de la situación por algo coyuntural, el gerente era conocido de uno de los allí presentes y esa confianza nos ahorró tener que lidiar con los abogados del demandado, pero es más probable que sean requeridos por el demandado que que no lo sean.
Así todo, fuimos ordenador por ordenador ejecutando los comandos y desde un CD la herramienta y grabando en local los informes que finalmente ubicamos en una carpeta de red para poder grabarlos desde una máquina que disponía de grabador de CD. El uso del CD como soporte para este tipo de actuaciones se hace indispensable. Plantearse utilizar un dispositivo tipo pendrive tanto para la ejecución de la herramienta stand-alone para la extracción de informes como para almacenar las evidencias obtenidas es poco menos que un suicidio por las altas probabilidades de infección de alguno de los sistemas.
Con todo eso, desde un PC portátil de nuestra propiedad, grabamos las fotografías a un CD y copiamos su contenido a la misma carpeta en la que disponíamos de los informes. Acto seguido ordenamos todo por nombre del PC de forma que disponíamos de todas las evidencias clasificadas. Finalmente todo este contenido fue grabado por triplicado dejando una copia a la empresa demandada, otra al secretario judicial y otra que nos quedamos nosotros para la elaboración del correspondiente dictámen.
Nos despedimos y fin del trabajo de campo, que se cuenta rápido pero llevó unas 5 horas para 23 sistemas.
En resumen una nueva experiencia que requiere más de aplomo y saber estar que de cualidades técnicas y que tiene varios puntos críticos:
- Selección de Software
- Elaboración de la Metodología más apropiada
- Cambios on the fly por restricciones de la infraestructura de sistemas de la empresa
- Y sobre todo, saber estar en los momentos de presión, no ponerse nervioso y ser consciente de que simplemente haces tu trabajo.
Salu2 y felices vacaciones para los que las estéis disfrutando actualmente!
Bibliografía sobre Peritaje Informático
Feb 18
Hace unos meses que Xabiel García Pañeda, autor del libro “Peritaje Informático, un enfoque práctico”, estuvo por Murcia dando una conferencia en la universidad de San Antonio. En aquella ocasión no tuve la oportunidad de poder intercambiar impresiones con él, sin embargo, sí que he mantenido la comunicación vía mail.
Hay algo que se echa mucho en falta cuando uno se plantea ser perito, y es documentación donde se pueda tener una visión global de lo que supone serlo. Xabiel me ha pasado un enlace donde él mismo ha redactado sus impresiones sobre un notable número de libros de peritaje informático. Para todos aquellos que os interese esta disciplina o el análisis forense que guarda una estrecha relación con la misma, no dejéis de visitar la página, es muy completa. Seguid este enlace 
.
Yo por mi parte os comentaré en el futuro algunos libros que he leido y cual ha sido mi impresión al respecto.
Peritaje Informático de Parte: La Vista (III)
Oct 7
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
Terminado el turno del abogado de la parte del perito vendrá el turno de la parte contraria que tendrá como objetivo desacreditar al perito. Para ello, el abogado puede emplear diversas tácticas:
- Búsqueda de Inconsistencias o contradicciones: el abogado puede hacer preguntas en busca del error del perito cambiando partes de su dictamen o pidiéndole que precise datos que no figuran en el mismo. Para resolver esta situación el perito debe tener el informe bien estudiado, cosa que en un principio puede parecer sencilla, pero en ocasiones pasan más de 6 meses desde la redacción del dictamen hasta su defensa en juicio. Es crucial en este punto que el perito disponga claramente de los objetivos que se plantearon y cual fue su resolución evadiendo preguntas como; “¿Cual es la probabilidad de que un usuario busque en el programa ares un acrónimo?” respondiendo cosas como: “No soy especialista en la conducta del ser humano y no puedo determinarlo”, que no es lo mismo que decir simplemente “no lo se”. El abogado contrario puede hacer preguntas incompletas esperando una respuesta, a lo que el perito responderá; “¿Y qué desea saber exactamente?”. También puede repetir la misma pregunta hasta la saciedad, buscando la extenuación del perito, aunque normalmente suele intervenir el juez en su defensa instando al abogado a que deje de repetir la misma pregunta.
- Aprovechar las debilidades de la personalidad del perito: El abogado contrario puede buscar la forma de poner bajo presión al perito para ver como responde. Esto puede hacerlo poniendo en duda su competencia en el tema en cuestión o alterando los tonos de voz pasando de un estado aparentemente tranquilo a sobresaltarse cuando se dirige al perito ante una declaración suya. El perito debe manejar los tiempos de respuesta y el tono firme y seguro durante toda la declaración.
- Estrechar el cerco sobre los puntos débiles: sin duda alguna, el abogado contrario tratará de ceñirse a aquellos aspectos del informe pericial que le puedan ser mínimamente beneficiosos no preguntando sobre nada más, por lo que es de vital importancia resaltar todas las bondades a favor de la parte del perito cuando es su turno de preguntas.
En última instancia, el juez puede pedir ciertas aclaraciones a las que el perito responderá en función de sus conocimientos. En general y para toda la vista es esencial respetar los siguientes puntos:
- No ofrecer más información de la que nos preguntan
- Tomarse tiempo para responder las preguntas
- Estar seguro de que se ha entendido bien la pregunta
- Nunca adelantarse a una pregunta, debe esperarse a que termine de ser formulada
- Nunca perder la frialdad
- Terminar siempre las respuestas aunque el abogado trate de cortarte
- Corregirse si llega el caso de un error
- Tomarse tiempo para revisar la documentación
- Responder de manera cautelosa a preguntas poco concretas o situaciones hipotéticas
- Escuchar las objeciones de los abogados a una pregunta y tratar de acotar la respuesta en caso de no haber sido bien transmitida.
Referencias:
- Proceso Judicial por descarga de archivos ilícitos en el que el autor es perito de parte
- La peritación Informática, Un enfoque práctico. Xabiel García Pañeda, David Melendi Palacio (Colegio Oficial de Ingenieros en Informática del Principado de Asturias)
- Effective Expert Witnessing. Jack V. Matson, Suha F. Daou, Jeffrey G. Soper (CRC PRESS)
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
Peritaje Informático de Parte: La Vista (II)
Oct 6
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
Cuando por fin pronuncian el nombre del perito, a éste le será requerido cualquiera de los documentos de identificación anteriormente mencionados y será dirigido hacia la sala en la que encontrará entre 4 y 6 personas. A la izquierda estará el letrado de la defensa, a la derecha la acusación y enfrente el secretario y el juez (o jueces). La disposición de la sala es como sigue:
No suele ser frecuente pero es posible que si hay más de un perito se pase diréctamente al careo y hagan pasar a los peritos al mismo tiempo con el objetivo de resolver sus discrepancias situando a ambos en las sillas de declarantes.
La seguridad debe quedar plasmada desde el inicio y la actitud y la expresión corporal deben reflejar dicha seguridad. El perito se situará ante el juez y éste podría hacerle una serie de preguntas como cual es su edad, fecha de nacimiento, etc que deben ser contestadas rápidamente. Una vez hecho esto, el juez preguntará al perito si promete o jura decir la verdad a lo que el perito contestará con juro o prometo. Si entra sólo el perito de parte, preguntará en primer lugar su parte y a continuación la parte contraria. Si hay un careo directo, las primeras preguntas pueden ir de la otra parte a su perito.
Hay que tener en cuenta que la estrategia del abogado de parte del perito puede cambiar y formular preguntas no convenidas anteriormente, dada la declaración de testigos anteriores. A estas preguntas hay que contestar con sinceridad como al resto de ellas en base a nuestros conocimientos, siempre hay que recordar que cualquier interpretación o respuesta no basada en evidencias claras puede suponer un grave problema para la credibilidad del perito y el resultado final del caso.
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
Peritaje Informático de Parte: La Vista (I)
Oct 5
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
Si hay un momento claramente definitivo y definitorio de un peritaje informático, éste es la vista. En este estadío del peritaje llega la hora de defender el informe entregado y ratificarnos en todo lo allí reflejado. Los nervios, la incertidumbre de lo que va a acontecer y los momentos de falta de confianza son enemigos internos contra los que hay que luchar y dejar a un lado antes del día D y la hora H.
Al día de la vista se debe llegar con todo bien amarrado entre el abogado y el perito, las preguntas que te van a hacer y las que el abogado puede hacer a la otra parte y de las cuales se puede sacar algo positivo. El proceso de confeccionar las preguntas puede no ser sencillo si el tema tiene connotaciones técnicas, algo muy probable en nuestra profesión, y el abogado carece de tales conocimientos. Es por ello que el planteamiento de la parte para la que se redacta el dictamen debe ser decidido conjuntamente por perito y abogado aportando el uno los conocimientos técnicos y el otro los legales. La labor del perito es en este escenario decisoria.
Cuando llega el día de la vista el perito debe llevar una copia del informe para consultarla en caso necesario así como su DNI, pasaporte o tarjeta de residente. Es conveniente que el informe no lleve ninguna etiqueta externa que pueda ser identificativa de la persona para la que fue emitido y que el perito haya realizado una labor previa de etiquetado y resaltado del mismo, teniendo localizables rápidamente los principales puntos del informe; objetivos, conclusiones, informes examinados si existieran, puntos críticos del procedimiento llevado a cabo, etc.
Las horas antes de la vista no son menos importantes. Los peritos de ambas partes (si existiera de la parte contraria) serán los últimos en entrar en la sala y esto propicia tiempo, puede que mucho tiempo, de espera. En primer lugar estarán presentes en la sala el acusado, los letrados y el juez (puede que haya más de uno). Acto seguido entrarán los testigos de ambas partes y por último lugar los peritos. Durante el tiempo de espera hay que tratar de evitar hablar del caso con los testigos de tu parte y desviar el tema, máxime si el juicio ha sido declarado como público y hay prensa, la cautela y la discreción debe ser una de las máximas en los momentos previos. Si aún así, el abogado insta al perito a que le aclare ciertas cosas se debe buscar un lugar adecuado, a ser posible con barreras físicas que impidan la audición de lo que se está tratando, con motivo de impedir que se proporcione información valiosa a la otra parte. La colaboración con el abogado es fundamental hasta el momento en que el perito sale de la sala e incluso después.
El tiempo de espera hará al perito pasar por una situación de calma tensa propia de las mejores películas de suspense en las que los maestros del cine consiguen mantenernos pegados a la silla y con los ojos bien abiertos porque no sabes qué va a pasar al segundo siguiente. Sentado en una silla durante 2 o 3 horas en un pasillo y a la espera de que se abra una puerta y suene tu nombre hay tiempo para pensar en muchas cosas y el ambiente puede ser agobiante, luz artificial, pasillos relativamente angostos, calor y otros factores pueden hacer aún más complicada la espera y cumplir con los principios de cautela y discreción ya mencionados.
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************
