Abstract

Basndonos en la ley de Newton donde se dice que: Toda accin que ocurre
siempre hay una reaccin igual y contraria, podemos deducir que cada aspecto
tiene su contraparte; el bien y el mal, el ying y el yang, el cielo y el infierno, etc. Hoy
en da no existe la excepcin a la informtica forense que su otra cara son las
tcnicas antiforenses.
Introduccin
Mucho se ha hablado ltimamente sobre la seguridad informtica en varios
aspectos del pas (econmicos, polticos, empresariales) y mucho mas ha sido
acogido el tema de la informtica forense a raz de los computadores del lder
guerrillero Ral Reyes, que durante la operacin militar donde fue abatido fueron
confiscados sus computadores personales. A partir de all prcticamente los
colombianos hemos sido protagonistas de algo nuevo para nosotros y que el
contacto mas cercano que hemos tenido con el tema ha sido conocido
largometrajes y series de televisin.
Computacin Forense
Lo primero que tenemos que tener claro antes de hablar de las tcnicas
antiforenses es entender lo que es un anlisis forense.
Un anlisis forense se puede entender como la aplicacin de una metodologa
cientfica y tecnolgica sobre dispositivos digitales (discos duros, tarjetas de
memoria, celulares, etc.) teniendo la posibilidad de recuperar de ellos el mximo
nmero de informacin que contengan. Pero la computacin forense no solamente
tiene como objetivo la recoleccin de la informacin, hay que tener en cuenta la
presentacin de la informacin que obtenemos, ya que generalmente los
destinatarios son los jueces y tribunales.
En la rama judicial no existe un estudio o especializacin para que dichas personas
obtengan los conocimientos necesarios para la interpretacin tcnica, as que es
necesario realizar informes a modo de entender los resultados obtenidos, siendo
as un objetivo secundario del estudio forense. Teniendo estos conceptos claros
podemos seguir a lo que mentes inquietas y nios que no duermen han
desarrollado para combatir este lado bueno de la fuerza, el tema de antiforense.

Computacin Antiforense
La computacin anti-forense surge como un reto positivo para la seguridad de la
informacin y sus desarrollos futuros. Los estudios y pruebas de concepto que
adelantan las mentes inquietas, producen nuevas distinciones y propuestas que
permiten a la industria continuar afinando sus desarrollos y no solamente fortalecer
los actualmente disponibles. La madurez de una herramienta forense, podramos
decir, se mide en las constantes dudas y fallas que tiene que resolver para
confrontar las observaciones de las mentes inquietas.
Las medidas antiforenses de la misma manera que las tcnicas forenses, son una
metodologa cientfica y tecnolgica sobre los mismos dispositivos digitales de lo
cuales hablbamos con dos objetivos, o bien que no podamos recuperar la
informacin que estos contienen o que la informacin recuperada sea desvirtuada
en su presentacin ante la justicia.
Las medidas antiforenses no es solo el hecho de decir "Usted no ha encontrado
nada" sino va mas all, tiene como fin el hecho de decir "usted ha encontrado esto
pero como sabe que era mo".
En la mente de las personas que utilizan dichas tcnicas llegan a cuestionarse
cosas como: "el hecho que utilice un ordenador indica que puedo dejar rastros, que
puedo hacer para evitar esto??.
El problema no es el dejar rastro porque de alguna manera puede llegarse a
eliminar dichos rastros y esto es lo que se busca en parte las acciones
antiforenses.
Otra situacin que se puede llegar a cuestionar es: Al final van a encontrar los
rastros, bueno no me importa el eliminarlos pero si que no sean claros, una
tcnica es cifrarlos (encrypted) y se ven los datos pero no pueden asociar de forma
clara, la informacin existe y es tangible pero no es posible determinar su
contenido.
Por otra parte existen los que no quieren que se dejen rastros dentro del
dispositivo, que no encuentren ni siquiera cifrados, y hay otros que desvirtan el
anlisis las cuales tienden a quitar la veracidad y garanta sobre la evidencia
recolectada.

Por ltimo y como medida extrema en tcnicas antiforenses son aquellos que
buscan la destruccin fsica del dispositivo teniendo como consecuencia la prdida
total de los datos y obviamente del dispositivo.
Enseguida veremos un poco ms en detalle algunas de las tcnicas antiforenses
mas conocidas.
Cifrado de Datos
El cifrado es una de las metodologas ms antiguas que se ha conocido como
tcnica antiforense. Es la ciencia de modificar la informacin mediante tcnicas
matemticas especiales y distorsionar (se entendera mejor el termino de
esconder) la informacin.
Este mtodo se ha utilizado para propsitos empresariales donde se enfoca a fines
de proteccin de la informacin cuando esta se quiere transmitir por un medio de
comunicacin.
Dicha tecnica ha sido atacada por medio de tecnicas de hacking como ataques de
fuerza bruta o ataques distribuidos para encontrar el medio (mas especificamente
la llave) que se utiliza para el desciframiento de la informacin.
Wipe
Esta tcnica de borrado seguro nos permite ir ms all de la mera accin del
borrado que se lleva a cabo con la papelera de reciclaje. Cuando a sta le damos
la orden de eliminar un fichero, realmente no lo borra del disco ni lo destruye, lo
nico que estamos haciendo es liberar el espacio que ste ocupaba en nuestro
dispositivo digital y lo deja disponible para escribir sobre l, pero no asegurarnos de
su recuperabilidad. Esto es as porque en la FAT (tabla de asignacin de ficheros,
es el "ndice" del dispositivo digital) se marcar como libre el rea ocupada por
dicho fichero, pero en la prctica sigue estando all. Si empleramos herramientas
especficas, como software forense, comprobaramos este hecho. Hay tcnicas de
microscopa ms complejas, pero se salen del objetivo de esta introduccin.

Su funcionamiento se basa en la sobreescritura: escribir (todo ceros, ceros y unos,

patrones aleatorios, etc.) sobre el espacio antes ocupado, machacando en varias
pasadas, de tal manera que luego sea difcil, por no decir imposible, su
recuperacin.
As pues, ms que de borrado seguro, hablaramos de impedimento seguro del
rescate o limpiado de rastros.
Esteganografa
La esteganografa es una tcnica que permite incluir mensajes (cifrados o no) en
ficheros aparentemente inocuos, como una imagen.
Existen cientos de aplicaciones capaces de ocultar mensajes en ficheros de distinto
formato como vdeo, imagen o sonido, pero la tcnica es bsicamente siempre la
misma: sustituir los bits menos significativos del archivo original por los que
componen el mensaje oculto. La diferencia es inapreciable para el ojo o el odo
humano, pero el mensaje secreto puede ser recuperado por su destinatario.
El uso de esteganografa no siempre es fcil de detectar, pero puede resultar
mucho ms fcil invalidarla mediante un mtodo muy sencillo: rellenar con basura
los bits menos significativos de los ficheros, de modo que el mensaje oculto se
vuelve irrecuperable.
Este mtodo podra denominarse (a nuestro modo de ver) "esteganografa doble" y
ha sido propuesto por Keith Bertolino, un estudiante de ingeniera de Nueva York.
Su aplicacin podra hacerse efectiva mediante la aplicacin de un mdulo a los
servidores de correo, que se encargara de alterar los bits menos significativos de
todos los ficheros adjuntos con determinadas extensiones, de modo que el adjunto
transmitido sera a la vista (o al odo en caso de ser un archivo de audio)
indistinguible del original, pero habra perdido la capacidad de esconder cualquier
mensaje recuperable.
Data Hiding (Data Streams)

Se define como los mtodos para ocultar informacin en lugares poco comunes,
los cuales pueden pasar inadvertidos por algunas herramientas forenses, el
ejemplo mas claro es la utilizacin del slack space (Espacio no utilizado por el
dispositivo digital). Este mtodo puede mezclarse con otros obteniendo una
tcnica hibrida, como la esteganografa y la criptografa. Un ejemplo claro de esto
son los Data streams (son atributos que no forman parte del archivo, como puede
ser fecha, autor, etc.), donde estos pueden llegar a ser modificados y de esta
manera modificar la informacin que si es verdica y real.
Como espacios no localizados tambin podemos utilizar los espacios no
localizados entre particiones, MBR, para esconder informacin, algunas
herramientas trabajan solo con particiones y no son capaces de analizar el
dispositivo (Se ve mucho mas en Discos Duros).
Sistemas de Integridad de Datos
Los sistemas de integridad usan algoritmos que por medio de mtodos
matemticos llegan a ofrecer un nmero nico de identificacin, el ejemplo mas
claro es el MD5 (Messages Digest5). Sistemas operativos como Linux y Windows
utilizan dicho algoritmo para verificar Integridad de la informacin.

Ahora, la parte antiforense se encuentra como en ejemplo lo descrito por Xiaoyun

Wang and Hongbo Yu, quien escribi un artculo el cual describa un algoritmo que
poda ser usado para encontrar Colisiones en secuencias de 128 bytes (obtener el
mismo hash MD5 con diferente contenido de informacin).
Rootkids de BIOS
La BIOS es el software que se carga para iniciar los computadores. Se tiene la
posibilidad de crear algn tipo de backdoors (acceso a la aplicacin y que no ha
sido contemplado) y/o rootkids (Un rootkit es una herramienta, o un grupo de ellas
que tiene como finalidad esconderse a s misma y esconder otros programas), sin
la necesidad de escribir en el disco duro. En memoria estos cdigos existen

nicamente en memorias voltiles y se instalan debido a algn tipo de

vulnerabilidad sobre el sistema donde se encuentra el dispositivo.

Rootkids de Bases de Datos

Hoy en da las bases de datos actuales tienen cada vez ms recursos que pueden
ser utilizados para instalar y mantener rootkits.

Las bases de datos que tienen privilegios administrativos y proporcionan recursos

para la creacin de archivos, ejecucin de comandos, etc. pueden permitir la
creacin de "herramientas on load" a los hackers, tambin pueden crear o
modificar algn tipo de estructura dentro de la base de datos para simplemente
esconder funciones, usuarios o algn tipo de transaccin entre los mismos.
Practicas Annimas
Esta es una tcnica pensada para el tipo de personas que no posee gran
conocimiento tcnico y aparte de ello una de las mas fciles de aplicar. Toda
accin que la persona desarrolle puede llegar a dejar rastros y que sean claros,
pero la parte antiforense consiste en desvirtuar las acciones que se han realizado.
El ejemplo mas claro para ello es el uso de los caf Internet, los cuales no tienen
ningn tipo de control o monitoreo. Ahora cabe aclarar que es posible llegar a este
tipo de acciones si se tiene definido y con exactitud el lugar de donde se
propiciaron las acciones y con una orden judicial poder llegar a realizar el anlisis
forense debido.
Redes WiFi Abiertas
Algunas personas suelen, por necesidad o por urgencia del servicio instalar una
red WiFi sin tener las debidas precauciones de dejar la red abierta (muchos
conocemos a estas personas como los vecinos samaritanos). Esta tcnica va muy
de la mano de las prcticas annimas debido a que los datos o evidencia de la
actividad que es dejada no corresponden o no es ciertamente posible asociarlo a
alguien.
Ultimos Archivos Modificados

Los ltimos archivos en un anlisis forense son importantes, ya que pueden llegar
a determinar de cierta manera comportamientos anmalos como lo son las puertas
traseras, sniffers, rootkits entre otros elementos.
La idea es modificar en cierta medida valores que alteren la hora de acceso, esto
con el fin de que el proceso forense sea mucho ms complicado o modificando el
verdadero contenido de la informacin.
Autor
Ing. Joshsua J Gonzlez Daz

Referencias
http://www.aweba.com.ar/seguridad/rookits
http://ws.hackaholic.org/slides/AntiForensics-CodeBreakers2006-TranslationTo-English.pdf
http://001d3e6.netsolhost.com/dfblog/wpcontent/uploads/2007/12/antiforensics.pdf
http://windowsir.blogspot.com/2007/05/xp-anti-forensics.html
http://www.anti-forensics.com/breaking-forensic-images-booted-as-a-virtualmachine