Professional Documents
Culture Documents
Basndonos en la ley de Newton donde se dice que: Toda accin que ocurre
siempre hay una reaccin igual y contraria, podemos deducir que cada aspecto
tiene su contraparte; el bien y el mal, el ying y el yang, el cielo y el infierno, etc. Hoy
en da no existe la excepcin a la informtica forense que su otra cara son las
tcnicas antiforenses.
Introduccin
Mucho se ha hablado ltimamente sobre la seguridad informtica en varios
aspectos del pas (econmicos, polticos, empresariales) y mucho mas ha sido
acogido el tema de la informtica forense a raz de los computadores del lder
guerrillero Ral Reyes, que durante la operacin militar donde fue abatido fueron
confiscados sus computadores personales. A partir de all prcticamente los
colombianos hemos sido protagonistas de algo nuevo para nosotros y que el
contacto mas cercano que hemos tenido con el tema ha sido conocido
largometrajes y series de televisin.
Computacin Forense
Lo primero que tenemos que tener claro antes de hablar de las tcnicas
antiforenses es entender lo que es un anlisis forense.
Un anlisis forense se puede entender como la aplicacin de una metodologa
cientfica y tecnolgica sobre dispositivos digitales (discos duros, tarjetas de
memoria, celulares, etc.) teniendo la posibilidad de recuperar de ellos el mximo
nmero de informacin que contengan. Pero la computacin forense no solamente
tiene como objetivo la recoleccin de la informacin, hay que tener en cuenta la
presentacin de la informacin que obtenemos, ya que generalmente los
destinatarios son los jueces y tribunales.
En la rama judicial no existe un estudio o especializacin para que dichas personas
obtengan los conocimientos necesarios para la interpretacin tcnica, as que es
necesario realizar informes a modo de entender los resultados obtenidos, siendo
as un objetivo secundario del estudio forense. Teniendo estos conceptos claros
podemos seguir a lo que mentes inquietas y nios que no duermen han
desarrollado para combatir este lado bueno de la fuerza, el tema de antiforense.
Computacin Antiforense
La computacin anti-forense surge como un reto positivo para la seguridad de la
informacin y sus desarrollos futuros. Los estudios y pruebas de concepto que
adelantan las mentes inquietas, producen nuevas distinciones y propuestas que
permiten a la industria continuar afinando sus desarrollos y no solamente fortalecer
los actualmente disponibles. La madurez de una herramienta forense, podramos
decir, se mide en las constantes dudas y fallas que tiene que resolver para
confrontar las observaciones de las mentes inquietas.
Las medidas antiforenses de la misma manera que las tcnicas forenses, son una
metodologa cientfica y tecnolgica sobre los mismos dispositivos digitales de lo
cuales hablbamos con dos objetivos, o bien que no podamos recuperar la
informacin que estos contienen o que la informacin recuperada sea desvirtuada
en su presentacin ante la justicia.
Las medidas antiforenses no es solo el hecho de decir "Usted no ha encontrado
nada" sino va mas all, tiene como fin el hecho de decir "usted ha encontrado esto
pero como sabe que era mo".
En la mente de las personas que utilizan dichas tcnicas llegan a cuestionarse
cosas como: "el hecho que utilice un ordenador indica que puedo dejar rastros, que
puedo hacer para evitar esto??.
El problema no es el dejar rastro porque de alguna manera puede llegarse a
eliminar dichos rastros y esto es lo que se busca en parte las acciones
antiforenses.
Otra situacin que se puede llegar a cuestionar es: Al final van a encontrar los
rastros, bueno no me importa el eliminarlos pero si que no sean claros, una
tcnica es cifrarlos (encrypted) y se ven los datos pero no pueden asociar de forma
clara, la informacin existe y es tangible pero no es posible determinar su
contenido.
Por otra parte existen los que no quieren que se dejen rastros dentro del
dispositivo, que no encuentren ni siquiera cifrados, y hay otros que desvirtan el
anlisis las cuales tienden a quitar la veracidad y garanta sobre la evidencia
recolectada.
Por ltimo y como medida extrema en tcnicas antiforenses son aquellos que
buscan la destruccin fsica del dispositivo teniendo como consecuencia la prdida
total de los datos y obviamente del dispositivo.
Enseguida veremos un poco ms en detalle algunas de las tcnicas antiforenses
mas conocidas.
Cifrado de Datos
El cifrado es una de las metodologas ms antiguas que se ha conocido como
tcnica antiforense. Es la ciencia de modificar la informacin mediante tcnicas
matemticas especiales y distorsionar (se entendera mejor el termino de
esconder) la informacin.
Este mtodo se ha utilizado para propsitos empresariales donde se enfoca a fines
de proteccin de la informacin cuando esta se quiere transmitir por un medio de
comunicacin.
Dicha tecnica ha sido atacada por medio de tecnicas de hacking como ataques de
fuerza bruta o ataques distribuidos para encontrar el medio (mas especificamente
la llave) que se utiliza para el desciframiento de la informacin.
Wipe
Esta tcnica de borrado seguro nos permite ir ms all de la mera accin del
borrado que se lleva a cabo con la papelera de reciclaje. Cuando a sta le damos
la orden de eliminar un fichero, realmente no lo borra del disco ni lo destruye, lo
nico que estamos haciendo es liberar el espacio que ste ocupaba en nuestro
dispositivo digital y lo deja disponible para escribir sobre l, pero no asegurarnos de
su recuperabilidad. Esto es as porque en la FAT (tabla de asignacin de ficheros,
es el "ndice" del dispositivo digital) se marcar como libre el rea ocupada por
dicho fichero, pero en la prctica sigue estando all. Si empleramos herramientas
especficas, como software forense, comprobaramos este hecho. Hay tcnicas de
microscopa ms complejas, pero se salen del objetivo de esta introduccin.
Se define como los mtodos para ocultar informacin en lugares poco comunes,
los cuales pueden pasar inadvertidos por algunas herramientas forenses, el
ejemplo mas claro es la utilizacin del slack space (Espacio no utilizado por el
dispositivo digital). Este mtodo puede mezclarse con otros obteniendo una
tcnica hibrida, como la esteganografa y la criptografa. Un ejemplo claro de esto
son los Data streams (son atributos que no forman parte del archivo, como puede
ser fecha, autor, etc.), donde estos pueden llegar a ser modificados y de esta
manera modificar la informacin que si es verdica y real.
Como espacios no localizados tambin podemos utilizar los espacios no
localizados entre particiones, MBR, para esconder informacin, algunas
herramientas trabajan solo con particiones y no son capaces de analizar el
dispositivo (Se ve mucho mas en Discos Duros).
Sistemas de Integridad de Datos
Los sistemas de integridad usan algoritmos que por medio de mtodos
matemticos llegan a ofrecer un nmero nico de identificacin, el ejemplo mas
claro es el MD5 (Messages Digest5). Sistemas operativos como Linux y Windows
utilizan dicho algoritmo para verificar Integridad de la informacin.
Los ltimos archivos en un anlisis forense son importantes, ya que pueden llegar
a determinar de cierta manera comportamientos anmalos como lo son las puertas
traseras, sniffers, rootkits entre otros elementos.
La idea es modificar en cierta medida valores que alteren la hora de acceso, esto
con el fin de que el proceso forense sea mucho ms complicado o modificando el
verdadero contenido de la informacin.
Autor
Ing. Joshsua J Gonzlez Daz
Referencias
http://www.aweba.com.ar/seguridad/rookits
http://ws.hackaholic.org/slides/AntiForensics-CodeBreakers2006-TranslationTo-English.pdf
http://001d3e6.netsolhost.com/dfblog/wpcontent/uploads/2007/12/antiforensics.pdf
http://windowsir.blogspot.com/2007/05/xp-anti-forensics.html
http://www.anti-forensics.com/breaking-forensic-images-booted-as-a-virtualmachine