Todo ying tiene su yang, y el análisis forense no iba a ser una excepción.
Una vez conocidas las principales técnicas de forensia informática es relativamente sencillo deducir las técnicas de evasión forense complementarias que harían dificultoso o llegado el caso inviable la aplicación exitosa del análisis forense.
Definición de análisis forense informático
Para los que no sepáis a ciencia cierta qué es la informática forense, quizás citar la definición que ofrece el FBI al respecto, la cual me permito modificar un poquito:
La forensia informática es la ciencia ocupada del estudio de la adquisición, obtención, preservación y presentación de evidencias electrónicas procesadas y conservadas en un medio computacional determinado.
¿Para qué sirve el análisis forense informático?
El principal objetivo del análisis forense informático es la obtención de evidencias que permitan, sin dar lugar a la duda razonable:
- El análisis completo y exhaustivo de incidencias que posteriormente podemos modelizar a través de un esquema que impida la repetición de una incidencia similar futura
- La puesta a disposición y procesado judicial de criminales y cibercriminales
- La justificación para poder cuantificar los daños infligidos por los atacantes
La antítesis entre forensia y anti forensia
Pondremos un ejemplo sumamente sencillo de esta antítesis. Imaginemos que en un curso nos enseñan a abrir una cerradura sin emplear su llave, acto que habitualmente llamamos en el argot lockpicking. Pues bien, si conocemos las técnicas de lockpicking no es difícil que, a la hora de diseñar una cerradura, apliquemos técnicas que eviten los intentos de apertura sin la llave original.
Con el análisis forense y anti forense pasa algo muy parecido. Si conocemos las técnicas de análisis, podemos considerarlas a la hora de gestionar un sistema para evitarlas en caso de análisis posteriores. Otro ejemplo: en la forensia médica, los analistas toman huellas con polvo magnético en superficies no pulimentadas. Por tanto, si dejamos una huella y aplicamos alguna técnica invalidante del polvo magnético, estaremos aplicando la correspondiente técnica anti forense.
Las técnicas anti forenses son menos populares que sus antagónicas, pero no por ello menos importantes. Conocer métodos anti forenses puede ser muy interesante si queremos evitar que un análisis forense no deseado revele información o trazas de cualquier tipo, o que en el peor de los casos, minimice la revelación de evidencias.
En el otro lado de la balanza tenemos las técnicas anti forenses con fines maliciosos. Si yo soy un intruso en un sistema y aplico técnicas y contramedidas de forensia, puedo dificultar o impedir que un analista cualificado pueda después seguir mi rastro. Obviamente no es el objetivo de este pequeño artículo hablar de estos usos maliciosos, sino conocerlas para poder impedir precisamente eso: que los intrusos puedan borrar demasiadas huellas una vez nos visiten.
Este nuevo rizo en el rizo es algo complicado, y es un efecto ping pong sin fin. Es decir, nosotros, conocedores de las técnicas forenses, diseñamos e implementamos controles para evitar la anti forensia. Los intrusos expertos conocen las técnicas anti forenses, y por tanto emplean medios para evadir a su vez las técnicas anti evasivas. Nosotros conocemos que los intrusos expertos tienen técnicas de evasión de técnicas anti forenses, y por tanto diseñamos medidas para evitar que la aplicación de contramedidas …. etc. etc. etc.
Lo usual es quedarse en el primer paso. Es decir, diseñar controles que impidan la anti forensia no controlada y ejecutada por intrusos. Suele ser suficiente.
Este es un tema denso y por tanto os voy a recomendar algunos enlaces que pueden contener información útil sobre anti forensia, con los que podréis profundizar un poco más en estas disciplinas. No dejéis de echarle un ojo.
Más información
- Técnicas anti forenses
- Talisker anti forensic tools
- Informática Forense, Anti-Forense y Anti-Anti Forense
- Lookheed Martin: Anti forensics
Que os aproveche ;)
Este articulo me recuerda a un anuncio que hacian por la radio (no española) hace algunos años sobre un dispositivos anulaban la identificacion de llamadas en los telefonos… y unos anunciaban el dispositivo para anular esa identificacion (no aparece el numero llamante), otros anunciaban el dispositivo que anulaba al primero (te mostraba el numero aunque el otro tuviese el aparato1) y otros anunciaban el dispositivo que anulaba el segundo (te ocultaba el numero aunque la persona a la que estuvieses llamando tuviese el ocultador)…….
Tisasia,
Efectivamente :) estos son los típicos productos de seguridad donde la dualidad invita a que unos defiendan un bando y otros, el otro.
Y esa pescadilla que se muerde la cola es de lo más habitual, siempre hay un anti, del anti, del anti … etc. La seguridad da mucho juego en este tipo de situaciones.
Un saludo.