sábado, 5 de noviembre de 2011

MÉTODOS Y TÉCNICAS ANTIFORENSES

Según [Cano, 2007] Son métodos que limitan la identificación, adquisición, análisis y validación de la evidencia digital en cuanto a cantidad y calidad.

Cano, también da un concepto más amplio “Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense.”

Los objetivos de los métodos antiforenses son [Cano, 2007]:

• Limitar la detección de un evento que haya ocurrido.
• Distorsionar la información residente en el sitio.
• Incrementar el tiempo requerido para la investigación del caso.
• Generar dudas en el informe forense o en el testimonio que se presente.
• Engañar y limitar la operación de las herramientas forenses informáticas.
• Diseñar y ejecutar un ataque contra el investigador forense que realiza la pericia.
• Eliminar los rastros que pudiesen haber quedado luego de los hechos investigados.



COMENTARIO:

Entre los métodos antiforenses tenemos desde los más simples e ingeniosos hasta los más tecnificados por ejemplo:
- Uso de programas de freezado de sistema operativo, por ejemplo DeepFreezer
- Uso de CDs booteables que no escriben en el disco rígido y por tanto no dejan rastros.
- Uso de USB con tecnología U3 con propio sistema operativo y programas portables. Una variante en USB que no cuentan con tecnología U3 es el uso de programas portables almacenados en dispositivos USB (Ej. FireFox portable, Emule portable, etc).
- Uso de máquinas virtuales.
- Borrado de históricos del navegador de Internet.
- Ocultamiento de IPs con proxys anónimos.
- Uso de PCs en cibercafes para realizar actividades ilícitas
- Borrar los datos del archivo desde la aplicación. Ejemplo un documento de Word borrar los datos y guardar con el mismo nombre.
- Programas que cambian metadatos. Ej. Fecha de creación, modificación, etc.
- Cambio del dispositivo de almacenamiento (disco rígido utilizado para actividades ilícitas) por uno nuevo de paquete y con los programas que tenía el antiguo.
- Formateo de disco, solo borra el índice que indica donde están los archivos.
- Destrucción de datos (wipeado) mediante la sobreescritura de archivos.
- Ocultar particiones.
- Ocultar archivos mediante cambio de atributo a oculto, cambio de extensión o lo más tecnificado ocultar mediante estenografía en imágenes o audio.
- Encripción de discos y de datos mediante software o mediante hardware.
- Destrucción física es decir romper el disco, imantar, quemar, etc.


Sin embargo de todos los métodos y técnicas mencionados, cabe resaltar que si bien dificultan el trabajo del profesional forense, siempre se podrá recurrir a procedimientos alternativos que encuentren o den indicios de las actividades ilícitas. Por ejemplo: Si se encuentra que un disco rígido fue sometido a técnicas de wipeado se puede presumir que realizaba actividades de las cuales no quería ser descubierto. Si se conectó a Internet se podrá realizar la búsqueda de correos electrónicos, pedir datos a la ISP y es muy posible en algún momento utilizó dispositivos de almacenamiento USB, haber guardado nombres de usuario y contraseña en papeles.

No existe el crimen perfecto pues "siempre" se deja rastros y si existiera algún crimen perfecto, todovía no nos enteramos porque fuen tan perfecto que ocultó o borró bastante bien sus rastros.

También cabe mencionar una frase que me gusta bastante:
"No existe la verdad absoluta y esta frase es una verdad absoluta".



[Cano, 2007], Jeimy Cano. “Estrategias anti-forenses en informática: Repensando la computación forense”, Revista de Derecho Informático, No. 110 - Septiembre del 2007. http://www.alfa-redi.org/rdi-articulo.shtml?x=9608 Consultado 16/10/2010

2 comentarios:

Anónimo dijo...

¡Muy interesante entrada! Me surgieron dos interrogantes:
- ¿Cómo se puede determinar que un disco rígido fue sometido a técnicas de wipeado, hay herramientas específicas para ello?
- ¿Al presumir que "realizaba actividades de las cuales no quería ser descubierto" dónde queda la presunción de inocencia?
Saludos.

Frauditor dijo...

¿Cómo se puede determinar que un disco rígido fue sometido a técnicas de wipeado, hay herramientas específicas para ello? Más que herramientas, técnicas de sentido común: correlación de fechas de archivos existentes, lineas de tiempo de sucesos esperados con archivos.
¿Al presumir que "realizaba actividades de las cuales no quería ser descubierto" dónde queda la presunción de inocencia? Este segundo aspecto se cubre con elementos de prueba complementarios como son los logs del IPS, pruebas testificales de personas involucradas y otros similares.

web stats