Abstract

Basándonos en la ley de Newton donde se dice que: “Toda acción que ocurre siempre hay una reacción igual y contraria”, podemos deducir que cada aspecto tiene su contraparte; el bien y el mal, el ying y el yang, el cielo y el infierno, etc. Hoy en día no existe la excepción a la informática forense que su otra cara son las técnicas antiforenses.

Introducción

Mucho se ha hablado últimamente sobre la seguridad informática en varios aspectos del país (económicos, políticos, empresariales) y mucho mas ha sido acogido el tema de la informática forense a raíz de los computadores del líder guerrillero Raúl Reyes, que durante la operación militar donde fue abatido fueron confiscados sus computadores personales. A partir de allí prácticamente los colombianos hemos sido protagonistas de algo nuevo para nosotros y que el contacto mas cercano que hemos tenido con el tema ha sido conocido largometrajes y series de televisión.

Computación Forense

Lo primero que tenemos que tener claro antes de hablar de las técnicas antiforenses es entender lo que es un análisis forense. Un análisis forense se puede entender como la aplicación de una metodología científica y tecnológica sobre dispositivos digitales (discos duros, tarjetas de memoria, celulares, etc.) teniendo la posibilidad de recuperar de ellos el máximo número de información que contengan. Pero la computación forense no solamente tiene como objetivo la recolección de la información, hay que tener en cuenta la presentación de la información que obtenemos, ya que generalmente los destinatarios son los jueces y tribunales.

En la rama judicial no existe un estudio o especialización para que dichas personas obtengan los conocimientos necesarios para la interpretación técnica, así que es necesario realizar informes a modo de entender los resultados obtenidos, siendo así un objetivo secundario del estudio forense. Teniendo estos conceptos claros podemos seguir a lo que “mentes inquietas” y “niños que no duermen” han desarrollado para combatir este “lado bueno de la fuerza”, el tema de antiforense.

Computación Antiforense

La computación anti-forense surge como un reto positivo para la seguridad de la información y sus desarrollos futuros. Los estudios y pruebas de concepto que adelantan las mentes inquietas, producen nuevas distinciones y propuestas que permiten a la industria continuar afinando sus desarrollos y no solamente fortalecer los actualmente disponibles. La madurez de una herramienta forense, podríamos decir, se mide en las constantes dudas y fallas que tiene que resolver para confrontar las observaciones de las mentes inquietas.

Las medidas antiforenses de la misma manera que las técnicas forenses, son una metodología científica y tecnológica sobre los mismos dispositivos digitales de lo cuales hablábamos con dos objetivos, o bien que no podamos recuperar la información que estos contienen o que la información recuperada sea desvirtuada en su presentación ante la justicia.

Las medidas antiforenses no es solo el hecho de decir "Usted no ha encontrado nada" sino va mas allá, tiene como fin el hecho de decir "usted ha encontrado esto pero como sabe que era mío".

En la mente de las personas que utilizan dichas técnicas llegan a cuestionarse cosas como: "el hecho que utilice un ordenador indica que puedo dejar rastros, que puedo hacer para evitar esto??”. El problema no es el dejar rastro porque de alguna manera puede llegarse a eliminar dichos rastros y esto es lo que se busca en parte las acciones antiforenses.

Otra situación que se puede llegar a cuestionar es: “Al final van a encontrar los rastros, bueno no me importa el eliminarlos pero si que no sean claros”, una técnica es cifrarlos (encrypted) y se ven los datos pero no pueden asociar de forma clara, la información existe y es tangible pero no es posible determinar su contenido.

Por otra parte existen los que no quieren que se dejen rastros dentro del dispositivo, que no encuentren ni siquiera cifrados, y hay otros que desvirtúan el análisis las cuales tienden a quitar la veracidad y garantía sobre la evidencia recolectada.

Por último y como medida extrema en técnicas antiforenses son aquellos que buscan la destrucción física del dispositivo teniendo como consecuencia la pérdida total de los datos y obviamente del dispositivo.

Enseguida veremos un poco más en detalle algunas de las técnicas antiforenses mas conocidas.

Cifrado de Datos

El cifrado es una de las metodologías más antiguas que se ha conocido como

técnica antiforense. Es la ciencia de modificar la información mediante técnicas

matemáticas especiales y distorsionar (se entendería mejor el termino de

esconder) la información.

Este método se ha utilizado para propósitos empresariales donde se enfoca a fines

de protección de la información cuando esta se quiere transmitir por un medio de

comunicación.

Dicha tecnica ha sido atacada por medio de tecnicas de hacking como ataques de

fuerza bruta o ataques distribuidos para encontrar el medio (mas especificamente

la llave) que se utiliza para el desciframiento de la información.

Wipe

Esta técnica de borrado seguro nos permite ir más allá de la mera acción del

borrado que se lleva a cabo con la papelera de reciclaje. Cuando a ésta le damos

la orden de eliminar un fichero, realmente no lo borra del disco ni lo destruye, lo

único que estamos haciendo es liberar el espacio que éste ocupaba en nuestro

dispositivo digital y lo deja disponible para escribir sobre él, pero no asegurarnos de

su recuperabilidad. Esto es así porque en la FAT (tabla de asignación de ficheros,

es el "índice" del dispositivo digital) se marcará como libre el área ocupada por

dicho fichero, pero en la práctica sigue estando allí. Si empleáramos herramientas

específicas, como software forense, comprobaríamos este hecho. Hay técnicas de

microscopía más complejas, pero se salen del objetivo de esta introducción.

Su funcionamiento se basa en la sobreescritura: escribir (todo ceros, ceros y unos,

patrones aleatorios, etc.) sobre el espacio antes ocupado, machacando en varias

pasadas, de tal manera que luego sea difícil, por no decir imposible, su

recuperación.

Así pues, más que de borrado seguro, hablaríamos de impedimento seguro del

rescate o limpiado de rastros.

Esteganografía

La esteganografía es una técnica que permite incluir mensajes (cifrados o no) en

ficheros aparentemente inocuos, como una imagen.

Existen cientos de aplicaciones capaces de ocultar mensajes en ficheros de distinto

formato como vídeo, imagen o sonido, pero la técnica es básicamente siempre la

misma: sustituir los bits menos significativos del archivo original por los que

componen el mensaje oculto. La diferencia es inapreciable para el ojo o el oído

humano, pero el mensaje secreto puede ser recuperado por su destinatario.

El uso de esteganografía no siempre es fácil de detectar, pero puede resultar

mucho más fácil invalidarla mediante un método muy sencillo: rellenar con basura

los bits menos significativos de los ficheros, de modo que el mensaje oculto se

vuelve irrecuperable.

Este método podría denominarse (a nuestro modo de ver) "esteganografía doble" y

ha sido propuesto por Keith Bertolino, un estudiante de ingeniería de Nueva York.

Su aplicación podría hacerse efectiva mediante la aplicación de un módulo a los

servidores de correo, que se encargaría de alterar los bits menos significativos de

todos los ficheros adjuntos con determinadas extensiones, de modo que el adjunto

transmitido sería a la vista (o al oído en caso de ser un archivo de audio)

indistinguible del original, pero habría perdido la capacidad de esconder cualquier

mensaje recuperable.

Data Hiding (Data Streams)

Se define como los métodos para ocultar información en lugares poco comunes,

los cuales pueden pasar inadvertidos por algunas herramientas forenses, el

ejemplo mas claro es la utilización del slack space (Espacio no utilizado por el

dispositivo digital). Este método puede mezclarse con otros obteniendo una

técnica hibrida, como la esteganografía y la criptografía. Un ejemplo claro de esto

son los Data streams (son atributos que no forman parte del archivo, como puede

ser fecha, autor, etc.), donde estos pueden llegar a ser modificados y de esta

manera modificar la información que si es verídica y real.

Como espacios no localizados también podemos utilizar los espacios no

localizados entre particiones, MBR, para esconder información, algunas

herramientas trabajan solo con particiones y no son capaces de analizar el

dispositivo (Se ve mucho mas en Discos Duros).

Sistemas de Integridad de Datos

Los sistemas de integridad usan algoritmos que por medio de métodos

matemáticos llegan a ofrecer un número único de identificación, el ejemplo mas

claro es el MD5 (Messages Digest5). Sistemas operativos como Linux y Windows

utilizan dicho algoritmo para verificar Integridad de la información.

Ahora, la parte antiforense se encuentra como en ejemplo lo descrito por Xiaoyun

Wang and Hongbo Yu, quien escribió un artículo el cual describía un algoritmo que

podía ser usado para encontrar Colisiones en secuencias de 128 bytes (obtener el

mismo hash MD5 con diferente contenido de información).

Rootkids de BIOS

La BIOS es el software que se carga para iniciar los computadores. Se tiene la

posibilidad de crear algún tipo de backdoors (acceso a la aplicación y que no ha

sido contemplado) y/o rootkids (Un rootkit es una herramienta, o un grupo de ellas

que tiene como finalidad esconderse a sí misma y esconder otros programas), sin

la necesidad de escribir en el disco duro. En memoria estos códigos existen

únicamente en memorias volátiles y se instalan debido a algún tipo de

vulnerabilidad sobre el sistema donde se encuentra el dispositivo.

Rootkids de Bases de Datos

Hoy en día las bases de datos actuales tienen cada vez más recursos que pueden

ser utilizados para instalar y mantener rootkits.

Las bases de datos que tienen privilegios administrativos y proporcionan recursos para la creación de archivos, ejecución de comandos, etc. pueden permitir la creación de "herramientas on load" a los hackers, también pueden crear o modificar algún tipo de estructura dentro de la base de datos para simplemente esconder funciones, usuarios o algún tipo de transacción entre los mismos.

Practicas Anónimas

Esta es una técnica pensada para el tipo de personas que no posee gran conocimiento técnico y aparte de ello una de las mas fáciles de aplicar. Toda acción que la persona desarrolle puede llegar a dejar rastros y que sean claros, pero la parte antiforense consiste en desvirtuar las acciones que se han realizado. El ejemplo mas claro para ello es el uso de los café Internet, los cuales no tienen ningún tipo de control o monitoreo. Ahora cabe aclarar que es posible llegar a este tipo de acciones si se tiene definido y con exactitud el lugar de donde se propiciaron las acciones y con una orden judicial poder llegar a realizar el análisis forense debido.

Redes WiFi Abiertas

Algunas personas suelen, por necesidad o por urgencia del servicio instalar una red WiFi sin tener las debidas precauciones de dejar la red abierta (muchos conocemos a estas personas como los vecinos samaritanos). Esta técnica va muy de la mano de las prácticas anónimas debido a que los datos o evidencia de la actividad que es dejada no corresponden o no es ciertamente posible asociarlo a alguien.

Ultimos Archivos Modificados

Los últimos archivos en un análisis forense son importantes, ya que pueden llegar

a determinar de cierta manera comportamientos anómalos como lo son las puertas

traseras, sniffers, rootkits entre otros elementos.

La idea es modificar en cierta medida valores que alteren la hora de acceso, esto con el fin de que el proceso forense sea mucho más complicado o modificando el verdadero contenido de la información.

Autor

Ing. Joshsua J González Díaz

Referencias

http://www.aweba.com.ar/seguridad/rookits

http://ws.hackaholic.org/slides/AntiForensics-CodeBreakers2006-Translation-

To-English.pdf

http://001d3e6.netsolhost.com/dfblog/wp-

content/uploads/2007/12/antiforensics.pdf

http://windowsir.blogspot.com/2007/05/xp-anti-forensics.html

http://www.anti-forensics.com/breaking-forensic-images-booted-as-a-virtual-

machine