Entrevista: Gustavo Presman, informático forense

Seba Bortnik —  29 marzo 2009 — 2 comentarios

A Gustavo Presman lo conocí en el Seminario de Segu-Info del año pasado, donde dictó un interesantísimo taller. Allí, pudimos compartir algunos momentos juntos y charlar un rato; y me resultó una persona muy interesante, por su simplicidad para transmitir sus ideas y por cómo trató a todos los jóvenes que se la acercaban a hablar (incluído yo) 😉

Decidí entrevistarlo principalmente porque trabaja un campo muy interesante de la informática: el análisis forense. ¿De qué se trata? Lean la entrevista a continuacíon…

¡Gracias Gustavo!

Primera parte: El personaje

Gustavo Presman es Ingeniero Electrónico de la UBA, con más de 20 años de experiencia. Cuenta, además, con varias certificaciones internacionales en Informática Forense. Cuenta con una extensa trayectoria como docente universitario de grado y posgrado.

Desde muy chico tuvo pasión por la tecnología y su vocación estuvo dedicada a la electrónica, hasta la aparición de la PC, donde abocó su afición a la informática.

Su sitio web: www.presman.com.ar

Segunda parte: Mini ping-pong

  1. ¿Cuál fue tu primer computadora? Mi primer contácto con la tecnología informática portátil fue una calculadora programable HP21 (la misma que llevaron los astronautas del Apolo XI a la luna) con la que pasaba días enteros haciendo programas , pero la primer computadora que tuve en mis manos fue una Radioshack TRS-80 que mi padre compró en 1978 para informatizar su negocio de repuestos en Warnes…Fue fantástico poder ensamblar ese equipo que venía todo desarmado en cajas pequeñas y lograr que cargara un interprete BASIC en su monitor de fósforo verde.
  2. ¿Cuál es tu kit informático de uso diario? En mi estudio trabajo con computadoras Intel QuadCore corriendo Vista Ultimate 64 para los trabajos de procesamiento Forense . Me muevo con un par de Notebooks Toshiba Intel Dual Core con XP Pro y no me separo de mi Blackberry 8320.
  3. Un informático que admires. Siempre adimiré a Bill Hewlett y Dave Packard por su visión en crear una empresa de IT , con marcado éxito en varias ramas de la sociedad.
  4. ¿Windows, Linux o Mac? Windows.
  5. Google… ¿ángel o demonio? Angel y demonio

Tercera parte: Las preguntas

Gustavo, arranquemos por el principio. Contame de qué trabaja un informático forense.

El informático Forense investiga el contenido de una computadora , a nivel del disco físico es decir que no se conforma con aquello que el sistema operativo le muestra sino que escarba en las profundidades del file system y entre los metadatos. Usualmente desarrolla su actividad en el ámbito judicial y es allí cuando el informático forense pasa a tener el rol de perito.

La pregunta que viene ahora es mucho peor: ¿qué le pasa a uno en la vida para convertirse en un informático forense?

En mi caso particular todo comenzó hace unos 10 años cuando un colega de un instituto terciario, donde aún dicto clases, se vió envuelto en una demanda judicial que requería una pericia informática relacionada con un tema complejo de sistemas en red y dado que yo era profesor de esa materia me solicitó ayuda. A partir de allí comencé a interesarme cada vez más en esta especialidad tan dinámica que presenta un desafío distinto en cada investigación , capacitándome tanto en temas legales como técnicos específicos en la materia que posteriormente validé con exámenes nacionales e internacionales.

Los médicos forenses dicen que hacen “hablar a los muertos”, ¿ustedes hacen hablar a las computadoras?

Puede decirse que sí ya que somos capaces de trazar un mapa de la actividad realizada en una computadora, sitios navegados, archivos procesados, incluso los pen drives que han sido conectados a esa computadora.

¿Con qué herramientas dispone un forense para hacer su trabajo?

Básicamente existen dos campos de actuación de la Informática Forense y aunque es posible, y de hecho yo lo hago, tener actividad en ambos , las herramientas que se requieren son diferentes , aunque pueden complementarse .

Para la adquisición de evidencia , que es el proceso de copiar medios magnéticos y resguardarlos con validez judicial , se requiere al menos de un dispositivo bloqueador de escritura y un juego de adaptadores para las tecnologías de almacenamiento existente , que deberá permitir la obtención de datos en medios con interfases de datos disímiles (IDE, SATA, SCSI) además es beneficioso contar con algún dispositivo clonador/duplicador forense , todo lo cual constituye el “maletín forense”. Adicionalmente deberá contar con un software para obtención y validación de evidencia con cálculo y verificación de HASH y CRC.

Para la segunda etapa que es el Análisis Forense , se deberá contar con un conjunto de herramientas específicas para la búsqueda y extracción de información a nivel de dísco físico que sea “de uso forense “, es decir que no altere el contenido de aquello que está bajo investigación y que preserve los metadatos . Esto es lo que comunmente se llama “Toolkit Forense” .

Esta es la pregunta para Doña Rosa: ¿qué tengo que hacer si quiero ASEGURARME de que lo que está en mi disco rígido no lo va a poder leer nadie?

La respuesta es muy sencilla … ¡No utilice su computadora!

Bromas aparte , al igual que en otras areas de la seguridad Informática, se podrían utilizar algunas tecnologías en las que el costo de acceder a la información rompiendo las barreras de protección sea mayor que el beneficio de la información en sí misma, por ejemplo se puede utilizar encriptado con claves complejas, por software, en el hardware de la PC o utilizar discos que encripten por hardware. Utilizar técnicas de borrado seguro (wiping) sobre aquellos elementos que se desea proteger complica la tarea del investigador forense informático. No obstante todo dependerá de la naturaleza de la investigación que se esté realizando ya que ello determinará los recursos disponibles… No es lo mismo una investigación por infidelidad conyugal que un caso de ciberterrorismo …

Según mi opinión, es preocupante a esta altura, que quienes gobiernan o tienen poder, tengan semejante desconocimiento tecnológico como el que muchas veces demuestran políticos, jueces, etc. ¿cómo funciona en estos tiempos que esta gente entienda la importancia de un recurso informático en un proceso legal?

Sin dudas que el avance tecnológico es mucho mas vertiginoso que el avance de la justicia pero afortunadamente las cosas están comenzando a cambiar y aunque sea a un ritmo lento los operadores judiciales están empezando a entender la importancia de la tecnología y la informática en un proceso judicial.

Contame de algunas herramientas libres que puedan probar los lectores para ver un poco de informática forense.

Existen herramientas de informática forense basadas en software libre de muy buena calidad que pueden utilizarse para hacer los primeros pasos en la materia y que suelo utilizar en mis cursos. Sin dudarlo uno de los toolkit forense mas completos y utilizados por la comunidad forense internacional es Helix, el cual recomiendo para aprender el uso de programas individuales y para la lectura de su valiosa documentación incluida.

Hace pocos días , los desarrolladores e impulsores de esta herramienta gratuita nos sorprendieron con la inclusión de una suscripción paga para poder bajarla de su sitio (http://www.e-fense.com/register-overview.php). Desde ya el hecho de que siga siendo Opensource permitirá obtenerla de otros sitios.

Internet ha hecho que mucha gente tenga acceso a un montón de herramientas de hacking o también forenses. Con ellas en la mano, a muchos se les hace dificil dirimir la linea entre el bien y el mal. ¿Por qué no practicar espíando a un amigo, un pariete, o un novi@? ¿Qué problema hay si pruebo con un sitio web público?, son algunas de las preguntas frecuentes. Según tu opinión, ¿Cuál es la linea que no se debe cruzar?

Para mí la respuesta es muy simple , no se debe cruzar la línea que implique avanzar sobre la privacidad de las personas o cometer actividades ilegales . Es muy importante tener presente que en la Argentina muchas de las conductas que pueden pensarse como “travesuras” son verdaderos delitos contemplados por la Ley 26388.

La ética y la honestidad son valores que deben anteponerse en todas las actividades del ser humano, en el desarrollo de la actividad de un informático forense son imprescindibles toda vez que sus resultados pueden determinar la culpabilidad o la inocencia de un tercero.

Para ir cerrando, contame una anécdota que hayas vivido en tu trabajo y que te hizo pensar “esto no puede ser real”…

Hace unos cuantos años me tocó investigar unas computadoras del gerente financiero de una importante empresa local , junto con un contador forense . Buscábamos evidencia de la comisión de un fraude en perjuicio de la empresa a través de los registros contables informatizados que se almacenaban en un servidor y en la PC del sospechoso.

Luego de varios días de asistir al contador poniéndole a su disposición los registros informáticos del sistema de la “doble contabilidad” me llamó la atención la gran cantidad de archivos zip encriptados que se enviaban por correo electrónico externo desde la PC de este gerente por lo que comencé a analizarlos uno a uno y grande fue mi sorpresa al descubrir que los mismos contenían información de producción y fabricación de uno de los productos de la empresa local… ¡No solo se estaba cometiendo fraude financiero sino también espionaje industrial!

Se que vas a poder darme una respuesta razonable a esta pregunta y es un tema que se ha discutido en mi blog. Tengo muchos lectores estudiantes de carreras informáticas o incluso informáticos metidos de lleno en el ambiente laboral sin haberse recibido (ni interés por hacerlo). ¿Por qué hacer una carrera universitaria relacionada a la informática?

La formación universitaria es muy importante para el investigador forense informático ya que aporta la claridad y la metodología necesarias para desarrollar el conocimiento y el espíritu crítico que la tarea necesita . Posiblemente sea necesario complementar este estudio universitario de grado con certificaciones internacionales en la materia o con un posgrado en alguna Universidad reconocida.

Por último hay que tener en cuenta que para desarrollar la actividad de perito judicial se le requerirá al profesional poseer titulo universitario habilitante.

Anuncios

2 comentarios para Entrevista: Gustavo Presman, informático forense

  1. 

    Me gustó mucho la entrevista. Me aclaró varias cosas sobre el tipo de trabajo que realiza Gustavo. Muy rica la variedad de las consultas del mini-repo. ME parece que me voy a hacer abonado a esta seccion de tu blog. 😉

  2. 
    cynthia savino 30 marzo 2009 en 10:56

    hola Sebastián Bortnik, coincido con vos en lo referente al Ing. Presman, tuvimos el honor de tenerlo como profesor en el trayecto curricular sistematico de posgrado en derecho informatico que se llevo a cabo en el 2008 en la Universidad Nacional de San Luis en la càtedra de “Informàtica Forense” y seguro que seguiremos contando con èl. Cynthia

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s