Uno de los grandes problemas a los que nos enfrentamos a la hora de realizar el análisis forense, es la detección de aplicaciones antiforense que han podido ser utilizadas para ocultar o eliminar información que pudiera estar en un sistema. El gran inconveniente de detectar este tipo de herramientas en un equipo, es la inquietud de saber que este equipo, portaba información de interés pero que desgraciadamente no podremos tener acceso a ella.
Para el que no conozca este tipo de herramientas, os comentaré que aunque siguiendo mecanismos diferentes, todas tienen persiguen un mismo objetivo, dificultar la trazabilidad en un escenario forense. Podemos diferenciarlas en los siguientes tipos:
- Las enfocadas a la eliminación de la información.
- Las enfocadas a la ofuscación de la información.
- Las enfocadas a generar la incertidumbre en la investigación.
Todas por ellas mismas son ciertamente peculiares, tanto en su uso como en los fines que persiguen. El buen uso (o mal uso según la circunstancia) permiten que un potencial delito pudiera quedar impune. Desgraciadamente la falta de evidencias (objetivo que persiguen este tipo de aplicaciones), limita la posibilidad de enjuiciamiento. La "clara evidencia" del empleo de una herramienta de antiforense, no permite determinar a efectos jurídicos el posible hecho delictivo, debido a la ausencia "clara de evidencias", a lo sumo la existencia de conjeturas. No obstante y afortunadamente no siempre el empleo de estas herramientas es definitivo, puesto que aunque se elimina información relevante, no se hace realmente extensivo a los ficheros de carácter temporal que pudiera estar siendo utilizado por el Sistema Operativo y que puede quedar revelado en un análisis forense.
En análisis forense realizados con la herramienta FTK Access data en un entorno de laboratorio, emulando las posibles acciones en un potencial delito, revelaba el uso de la herramienta Evidence Eliminator, mediante el empleo de las firmas KFF. Esta aplicación está basada en un interface cómodo, que permite realizar varias pasadas de 1 y/o 0 (Wipe) para sobreescribir determinada información que pudiera ser comprometida. Puesto que el tiempo que se tarda en realizar estas operaciones puede ser mpli, se pueden limitar las opciones de eliminación. En esta circunstancias en el análisis en el fichero de paginación, se reveló (puesto que no fué eliminado debido al tiempo que tardaba en realizarse la operción) las acciones realizadas en el equipo y la recuperación de información que pudiera ser transcendental al caso.
La existencia o la detección del uso de herramientas antiforense, debieran incitar a una investigación, con más ahinco si cabe, puesto que denota a través de su uso la posible importancia de las evidencias. El problema al que se enfrenta el investigador, es la desventaja moral con la que parte al saber que en un porcentaje muy alto de las circunstancias, sus esfuerzos no obtendrán ningún fruto.
Dentro de los tipos de herramientas que se han comentado previamente, podríamos citar algunas que identifican claramente el objetivo a perseguir.
- Eliminación de evidencias. Además de la citada evidence eliminator, podríamos incluir en este grupo la suite DBan. Esta herramienta en sí, es un disco de arranque que permite la eliminación segura de un disco. Además del posible uso delictivo que se pueda dar, puede ser también utilizado como mecanismo de destrucción documental o eliminación segura de información crítica. Por ejemplo cuando un equipo de una organización vaya a ser desechado (el formateo del disco, únicamente no es una buena práctica).
- Dentro de los sistemas de ofuscación, herramientas de cifrado como Truecrypt o el empleo de técnicas de esteganografía o malware, permiten que alguien conocedor del hecho pueda acceder a la información dificultando no obstante una posible investigación.
- Las enfocadas a generar la incertidumbre, no tienen como objetivo la eliminación u ocultación de la información. Simplemente confundir con la información existente. Tenemos un ejemplo con el uso de la herramienta TimeStomp. Petenenciente al grupo de herramientas MAFIA (Metasploit Anti-Forensic Investigation Arsenal ) del proyecto Metasploit, persigue alterar la información de tiempos de ficheros. Permite poner fechas inverosímiles, complicando el análisis al conseguir la ruptura de la linea temporal de la investigación.
Este tipo de herrmientas pueden complicar la vida en una investigación enormente. Uno no sabe si es mejor detectar su empleo en un equipo analizado o no. Porque a veces saber que se han empleado, dejan con la miel en lo labios y una rabia contenida de no saber, que se ha podido hacer con ellas.
Suscribirse a:
Enviar comentarios (Atom)
3 comentarios:
Muchas veces yopienso que las autoridades se dejan co ellos mucha información la cual nunca es liberada para poder descifrar un problema.
A la hora de la hora hay que saber del tema, varias veces me ha tocado revisar discos duros borrados pero como son principiantes es facil recuperar informacion, no siempre los hace culpables pero en fin.
ME parece que este articulo deberia aparecer en la revista Muy Interesante, ya que es del tipo de informacion que ellos buscan pulbicar. Este blog es muy bueno, y he aprendido mucho atraves del cada post.
Publicar un comentario