forense computacion
DESCRIPTION
Forense computacionTRANSCRIPT
Abstract
Basándonos en la ley de Newton donde se dice que: “Toda acción que ocurre siempre hay una reacción igual y contraria”, podemos deducir que cada aspecto tiene su contraparte; el bien y el mal, el ying y el yang, el cielo y el infierno, etc. Hoy en día no existe la excepción a la informática forense que su otra cara son las técnicas antiforenses.
Introducción
Mucho se ha hablado últimamente sobre la seguridad informática en varios aspectos del país (económicos, políticos, empresariales) y mucho mas ha sido acogido el tema de la informática forense a raíz de los computadores del líder guerrillero Raúl Reyes, que durante la operación militar donde fue abatido fueron confiscados sus computadores personales. A partir de allí prácticamente los colombianos hemos sido protagonistas de algo nuevo para nosotros y que el contacto mas cercano que hemos tenido con el tema ha sido conocido largometrajes y series de televisión.
Computación Forense
Lo primero que tenemos que tener claro antes de hablar de las técnicas antiforenses es entender lo que es un análisis forense. Un análisis forense se puede entender como la aplicación de una metodología científica y tecnológica sobre dispositivos digitales (discos duros, tarjetas de memoria, celulares, etc.) teniendo la posibilidad de recuperar de ellos el máximo número de información que contengan. Pero la computación forense no solamente tiene como objetivo la recolección de la información, hay que tener en cuenta la presentación de la información que obtenemos, ya que generalmente los destinatarios son los jueces y tribunales.
En la rama judicial no existe un estudio o especialización para que dichas personas obtengan los conocimientos necesarios para la interpretación técnica, así que es necesario realizar informes a modo de entender los resultados obtenidos, siendo así un objetivo secundario del estudio forense. Teniendo estos conceptos claros podemos seguir a lo que “mentes inquietas” y “niños que no duermen” han desarrollado para combatir este “lado bueno de la fuerza”, el tema de antiforense.
Computación Antiforense
La computación anti-forense surge como un reto positivo para la seguridad de la información y sus desarrollos futuros. Los estudios y pruebas de concepto que adelantan las mentes inquietas, producen nuevas distinciones y propuestas que permiten a la industria continuar afinando sus desarrollos y no solamente fortalecer los actualmente disponibles. La madurez de una herramienta forense, podríamos decir, se mide en las constantes dudas y fallas que tiene que resolver para confrontar las observaciones de las mentes inquietas.
Las medidas antiforenses de la misma manera que las técnicas forenses, son una metodología científica y tecnológica sobre los mismos dispositivos digitales de lo cuales hablábamos con dos objetivos, o bien que no podamos recuperar la información que estos contienen o que la información recuperada sea desvirtuada en su presentación ante la justicia.
Las medidas antiforenses no es solo el hecho de decir "Usted no ha encontrado nada" sino va mas allá, tiene como fin el hecho de decir "usted ha encontrado esto pero como sabe que era mío".
En la mente de las personas que utilizan dichas técnicas llegan a cuestionarse cosas como: "el hecho que utilice un ordenador indica que puedo dejar rastros, que puedo hacer para evitar esto??”. El problema no es el dejar rastro porque de alguna manera puede llegarse a eliminar dichos rastros y esto es lo que se busca en parte las acciones antiforenses.
Otra situación que se puede llegar a cuestionar es: “Al final van a encontrar los rastros, bueno no me importa el eliminarlos pero si que no sean claros”, una técnica es cifrarlos (encrypted) y se ven los datos pero no pueden asociar de forma clara, la información existe y es tangible pero no es posible determinar su contenido.
Por otra parte existen los que no quieren que se dejen rastros dentro del dispositivo, que no encuentren ni siquiera cifrados, y hay otros que desvirtúan el análisis las cuales tienden a quitar la veracidad y garantía sobre la evidencia recolectada.
Por último y como medida extrema en técnicas antiforenses son aquellos que buscan la destrucción física del dispositivo teniendo como consecuencia la pérdida total de los datos y obviamente del dispositivo.
Enseguida veremos un poco más en detalle algunas de las técnicas antiforenses mas conocidas.
Cifrado de Datos
El cifrado es una de las metodologías más antiguas que se ha conocido como
técnica antiforense. Es la ciencia de modificar la información mediante técnicas
matemáticas especiales y distorsionar (se entendería mejor el termino de
esconder) la información.
Este método se ha utilizado para propósitos empresariales donde se enfoca a fines
de protección de la información cuando esta se quiere transmitir por un medio de
comunicación.
Dicha tecnica ha sido atacada por medio de tecnicas de hacking como ataques de
fuerza bruta o ataques distribuidos para encontrar el medio (mas especificamente
la llave) que se utiliza para el desciframiento de la información.
Wipe
Esta técnica de borrado seguro nos permite ir más allá de la mera acción del
borrado que se lleva a cabo con la papelera de reciclaje. Cuando a ésta le damos
la orden de eliminar un fichero, realmente no lo borra del disco ni lo destruye, lo
único que estamos haciendo es liberar el espacio que éste ocupaba en nuestro
dispositivo digital y lo deja disponible para escribir sobre él, pero no asegurarnos de
su recuperabilidad. Esto es así porque en la FAT (tabla de asignación de ficheros,
es el "índice" del dispositivo digital) se marcará como libre el área ocupada por
dicho fichero, pero en la práctica sigue estando allí. Si empleáramos herramientas
específicas, como software forense, comprobaríamos este hecho. Hay técnicas de
microscopía más complejas, pero se salen del objetivo de esta introducción.
Su funcionamiento se basa en la sobreescritura: escribir (todo ceros, ceros y unos,
patrones aleatorios, etc.) sobre el espacio antes ocupado, machacando en varias
pasadas, de tal manera que luego sea difícil, por no decir imposible, su
recuperación.
Así pues, más que de borrado seguro, hablaríamos de impedimento seguro del
rescate o limpiado de rastros.
Esteganografía
La esteganografía es una técnica que permite incluir mensajes (cifrados o no) en
ficheros aparentemente inocuos, como una imagen.
Existen cientos de aplicaciones capaces de ocultar mensajes en ficheros de distinto
formato como vídeo, imagen o sonido, pero la técnica es básicamente siempre la
misma: sustituir los bits menos significativos del archivo original por los que
componen el mensaje oculto. La diferencia es inapreciable para el ojo o el oído
humano, pero el mensaje secreto puede ser recuperado por su destinatario.
El uso de esteganografía no siempre es fácil de detectar, pero puede resultar
mucho más fácil invalidarla mediante un método muy sencillo: rellenar con basura
los bits menos significativos de los ficheros, de modo que el mensaje oculto se
vuelve irrecuperable.
Este método podría denominarse (a nuestro modo de ver) "esteganografía doble" y
ha sido propuesto por Keith Bertolino, un estudiante de ingeniería de Nueva York.
Su aplicación podría hacerse efectiva mediante la aplicación de un módulo a los
servidores de correo, que se encargaría de alterar los bits menos significativos de
todos los ficheros adjuntos con determinadas extensiones, de modo que el adjunto
transmitido sería a la vista (o al oído en caso de ser un archivo de audio)
indistinguible del original, pero habría perdido la capacidad de esconder cualquier
mensaje recuperable.
Data Hiding (Data Streams)
Se define como los métodos para ocultar información en lugares poco comunes,
los cuales pueden pasar inadvertidos por algunas herramientas forenses, el
ejemplo mas claro es la utilización del slack space (Espacio no utilizado por el
dispositivo digital). Este método puede mezclarse con otros obteniendo una
técnica hibrida, como la esteganografía y la criptografía. Un ejemplo claro de esto
son los Data streams (son atributos que no forman parte del archivo, como puede
ser fecha, autor, etc.), donde estos pueden llegar a ser modificados y de esta
manera modificar la información que si es verídica y real.
Como espacios no localizados también podemos utilizar los espacios no
localizados entre particiones, MBR, para esconder información, algunas
herramientas trabajan solo con particiones y no son capaces de analizar el
dispositivo (Se ve mucho mas en Discos Duros).
Sistemas de Integridad de Datos
Los sistemas de integridad usan algoritmos que por medio de métodos
matemáticos llegan a ofrecer un número único de identificación, el ejemplo mas
claro es el MD5 (Messages Digest5). Sistemas operativos como Linux y Windows
utilizan dicho algoritmo para verificar Integridad de la información.
Ahora, la parte antiforense se encuentra como en ejemplo lo descrito por Xiaoyun
Wang and Hongbo Yu, quien escribió un artículo el cual describía un algoritmo que
podía ser usado para encontrar Colisiones en secuencias de 128 bytes (obtener el
mismo hash MD5 con diferente contenido de información).
Rootkids de BIOS
La BIOS es el software que se carga para iniciar los computadores. Se tiene la
posibilidad de crear algún tipo de backdoors (acceso a la aplicación y que no ha
sido contemplado) y/o rootkids (Un rootkit es una herramienta, o un grupo de ellas
que tiene como finalidad esconderse a sí misma y esconder otros programas), sin
la necesidad de escribir en el disco duro. En memoria estos códigos existen
únicamente en memorias volátiles y se instalan debido a algún tipo de
vulnerabilidad sobre el sistema donde se encuentra el dispositivo.
Rootkids de Bases de Datos
Hoy en día las bases de datos actuales tienen cada vez más recursos que pueden
ser utilizados para instalar y mantener rootkits.
Las bases de datos que tienen privilegios administrativos y proporcionan recursos para la creación de archivos, ejecución de comandos, etc. pueden permitir la creación de "herramientas on load" a los hackers, también pueden crear o modificar algún tipo de estructura dentro de la base de datos para simplemente esconder funciones, usuarios o algún tipo de transacción entre los mismos.
Practicas Anónimas
Esta es una técnica pensada para el tipo de personas que no posee gran conocimiento técnico y aparte de ello una de las mas fáciles de aplicar. Toda acción que la persona desarrolle puede llegar a dejar rastros y que sean claros, pero la parte antiforense consiste en desvirtuar las acciones que se han realizado. El ejemplo mas claro para ello es el uso de los café Internet, los cuales no tienen ningún tipo de control o monitoreo. Ahora cabe aclarar que es posible llegar a este tipo de acciones si se tiene definido y con exactitud el lugar de donde se propiciaron las acciones y con una orden judicial poder llegar a realizar el análisis forense debido.
Redes WiFi Abiertas
Algunas personas suelen, por necesidad o por urgencia del servicio instalar una red WiFi sin tener las debidas precauciones de dejar la red abierta (muchos conocemos a estas personas como los vecinos samaritanos). Esta técnica va muy de la mano de las prácticas anónimas debido a que los datos o evidencia de la actividad que es dejada no corresponden o no es ciertamente posible asociarlo a alguien.
Ultimos Archivos Modificados
Los últimos archivos en un análisis forense son importantes, ya que pueden llegar
a determinar de cierta manera comportamientos anómalos como lo son las puertas
traseras, sniffers, rootkits entre otros elementos.
La idea es modificar en cierta medida valores que alteren la hora de acceso, esto con el fin de que el proceso forense sea mucho más complicado o modificando el verdadero contenido de la información.
Autor
Ing. Joshsua J González Díaz
Referencias
http://www.aweba.com.ar/seguridad/rookits
http://ws.hackaholic.org/slides/AntiForensics-CodeBreakers2006-Translation-
To-English.pdf
http://001d3e6.netsolhost.com/dfblog/wp-
content/uploads/2007/12/antiforensics.pdf
http://windowsir.blogspot.com/2007/05/xp-anti-forensics.html
http://www.anti-forensics.com/breaking-forensic-images-booted-as-a-virtual-
machine