Anti-informática forense

Técnicas utilizadas para obstruir el análisis forense

La informática forense o contraforense son técnicas utilizadas para obstruir el análisis forense .

Definición

La ciencia forense sólo recientemente ha sido reconocida como un campo legítimo de estudio.

Una de las definiciones más conocidas y aceptadas es la de Marc Rogers. Una de las primeras presentaciones detalladas de la anticiencia forense, publicada en la revista Phrack en 2002, define la anticiencia forense como "la eliminación u ocultación de pruebas en un intento de mitigar la eficacia de una investigación forense". ^[1]

Scott Berinato ofrece una definición más abreviada en su artículo titulado The Rise of Anti-Forensics (El auge de la investigación antiforense): “La investigación antiforense es más que una tecnología. Es un enfoque de la piratería informática criminal que se puede resumir así: hacer que les resulte difícil encontrarte e imposible demostrar que te encontraron”. ^[2] Ninguno de los dos autores tiene en cuenta el uso de métodos antiforenses para garantizar la privacidad de los datos personales.

Subcategorías

Los métodos antiforenses suelen dividirse en varias subcategorías para simplificar la clasificación de las distintas herramientas y técnicas. Una de las subcategorías más aceptadas fue desarrollada por el Dr. Marcus Rogers, quien propuso las siguientes subcategorías: ocultación de datos, borrado de artefactos, ofuscación de rastros y ataques contra los procesos y herramientas de CF (informática forense). ^[3] Los ataques contra las herramientas forenses directamente también se han denominado contrainforenses. ^[4]

Propósito y objetivos

En el campo de la ciencia forense digital, existe un gran debate sobre el propósito y los objetivos de los métodos antiforenses. La opinión generalizada es que las herramientas antiforenses son puramente maliciosas en su intención y diseño. Otros creen que estas herramientas deberían usarse para ilustrar las deficiencias en los procedimientos y herramientas forenses digitales y en la educación de los examinadores forenses. Este sentimiento fue repetido en la Conferencia Blackhat de 2005 por los autores de herramientas antiforenses, James Foster y Vinnie Liu. ^[5] Afirmaron que al exponer estos problemas, los investigadores forenses tendrán que trabajar más arduamente para demostrar que la evidencia recopilada es precisa y confiable. Creen que esto dará como resultado mejores herramientas y educación para el examinador forense. Además, la contraciencia forense tiene importancia para la defensa contra el espionaje , ya que la recuperación de información mediante herramientas forenses sirve a los objetivos de los espías por igual y a los de los investigadores.

Ocultación de datos

La ocultación de datos es el proceso de hacer que los datos sean difíciles de encontrar y, al mismo tiempo, mantenerlos accesibles para su uso futuro. “ La ofuscación y el cifrado de datos le dan al adversario la capacidad de limitar la identificación y la recolección de evidencia por parte de los investigadores, al tiempo que les permite el acceso y el uso por parte de ellos mismos”. ^[6]

Algunas de las formas más comunes de ocultamiento de datos incluyen el cifrado, la esteganografía y otras formas diversas de ocultamiento de datos basado en hardware y software. Cada uno de los diferentes métodos de ocultamiento de datos dificulta los exámenes forenses digitales. Cuando se combinan, pueden hacer que una investigación forense exitosa sea casi imposible.

Encriptación

Una de las técnicas más utilizadas para derrotar a la informática forense es el cifrado de datos . En una presentación sobre cifrado y metodologías antiforenses, el vicepresidente de Secure Computing, Paul Henry, se refirió al cifrado como una "pesadilla para los expertos forenses". ^[7]

La mayoría de los programas de cifrado disponibles públicamente permiten al usuario crear discos cifrados virtuales que solo se pueden abrir con una clave designada. Mediante el uso de algoritmos de cifrado modernos y diversas técnicas de cifrado, estos programas hacen que sea prácticamente imposible leer los datos sin la clave designada.

El cifrado a nivel de archivo cifra únicamente el contenido del archivo. Esto deja sin cifrar información importante, como el nombre del archivo, el tamaño y las marcas de tiempo. Es posible reconstruir partes del contenido del archivo desde otras ubicaciones, como archivos temporales, archivos de intercambio y copias eliminadas y sin cifrar.

La mayoría de los programas de cifrado tienen la capacidad de realizar una serie de funciones adicionales que dificultan cada vez más los esfuerzos forenses digitales. Algunas de estas funciones incluyen el uso de un archivo de claves , cifrado de volumen completo y negación plausible . La amplia disponibilidad de software que contiene estas funciones ha puesto al campo de la investigación forense digital en una gran desventaja.

Esteganografía

La esteganografía es una técnica en la que se oculta información o archivos dentro de otro archivo con el fin de ocultarlos dejándolos a la vista. "La esteganografía produce datos oscuros que normalmente quedan ocultos dentro de datos claros (por ejemplo, una marca de agua digital imperceptible oculta dentro de una fotografía digital)". ^[8] Si bien algunos expertos han argumentado que el uso de técnicas de esteganografía no está muy extendido y, por lo tanto, no se debe pensar demasiado en el tema, la mayoría de los expertos coinciden en que la esteganografía tiene la capacidad de alterar el proceso forense cuando se utiliza correctamente. ^[2]

Según Jeffrey Carr, en una edición de 2007 de Technical Mujahid (una publicación bimensual sobre terrorismo) se destacaba la importancia de utilizar un programa de esteganografía llamado Secrets of the Mujahideen. Según Carr, se promocionaba el programa como una herramienta que brindaba al usuario la capacidad de evitar ser detectado por los programas de esteganografía actuales . Esto se lograba mediante el uso de la esteganografía junto con la compresión de archivos. ^[9]

Otras formas de ocultación de datos

Otras formas de ocultamiento de datos implican el uso de herramientas y técnicas para ocultar datos en varias ubicaciones de un sistema informático. Algunos de estos lugares pueden incluir "memoria, espacio libre , directorios ocultos, bloques defectuosos , flujos de datos alternativos y particiones ocultas ". ^[3]

Una de las herramientas más conocidas que se utiliza a menudo para ocultar datos se llama Slacker (parte del marco Metasploit ). ^[10] Slacker divide un archivo y coloca cada parte de ese archivo en el espacio libre de otros archivos, ocultándolo así del software de examen forense. ^[8] Otra técnica de ocultación de datos implica el uso de sectores defectuosos. Para llevar a cabo esta técnica, el usuario cambia un sector particular de bueno a malo y luego los datos se colocan en ese grupo particular. La creencia es que las herramientas de examen forense verán estos grupos como malos y continuarán sin examinar su contenido. ^[8]

Limpieza de artefactos

Los métodos utilizados para borrar artefactos tienen como objetivo eliminar permanentemente archivos específicos o sistemas de archivos completos. Esto se puede lograr mediante el uso de una variedad de métodos que incluyen utilidades de limpieza de discos, utilidades de borrado de archivos y técnicas de desmagnetización/destrucción de discos. ^[3]

Utilidades de limpieza de discos

Las utilidades de limpieza de discos utilizan una variedad de métodos para sobrescribir los datos existentes en los discos (consulte la remanencia de datos ). La eficacia de las utilidades de limpieza de discos como herramientas antiforenses suele cuestionarse, ya que algunos creen que no son completamente eficaces. Los expertos que no creen que las utilidades de limpieza de discos sean aceptables para la desinfección de discos basan sus opiniones en la política actual del Departamento de Defensa, que establece que la única forma aceptable de desinfección es la desmagnetización. (Consulte el Programa Nacional de Seguridad Industrial ). Las utilidades de limpieza de discos también son criticadas porque dejan firmas de que se borró el sistema de archivos, lo que en algunos casos es inaceptable. Algunas de las utilidades de limpieza de discos más utilizadas incluyen DBAN , srm , BCWipe Total WipeOut, KillDisk, PC Inspector y CyberScrubs cyberCide. Otra opción aprobada por el NIST y la NSA es CMRR Secure Erase, que utiliza el comando Secure Erase integrado en la especificación ATA .

Utilidades de borrado de archivos

Las utilidades de borrado de archivos se utilizan para eliminar archivos individuales de un sistema operativo. La ventaja de las utilidades de borrado de archivos es que pueden realizar su tarea en un tiempo relativamente corto, a diferencia de las utilidades de limpieza de discos que tardan mucho más. Otra ventaja de las utilidades de borrado de archivos es que generalmente dejan una firma mucho más pequeña que las utilidades de limpieza de discos. Hay dos desventajas principales de las utilidades de borrado de archivos: primero, requieren la participación del usuario en el proceso y, segundo, algunos expertos creen que los programas de borrado de archivos no siempre borran correcta y completamente la información de los archivos. ^{[11] [12]} Algunas de las utilidades de borrado de archivos más utilizadas incluyen BCWipe, R-Wipe & Clean, Eraser, Aevita Wipe & Delete y CyberScrubs PrivacySuite. En Linux, también se pueden utilizar herramientas como shred y srm para borrar archivos individuales. ^{[13] [14]} Los SSD son, por diseño, más difíciles de borrar, ya que el firmware puede escribir en otras celdas, lo que permite la recuperación de datos. En estos casos, se debe utilizar ATA Secure Erase en todo el disco, con herramientas como hdparm que lo admitan. ^[15]

Técnicas de desmagnetización/destrucción de discos

La desmagnetización de discos es un proceso mediante el cual se aplica un campo magnético a un dispositivo de medios digitales. El resultado es un dispositivo que está completamente limpio de cualquier dato almacenado previamente. La desmagnetización rara vez se utiliza como método antiforense a pesar de que es un medio eficaz para garantizar que se hayan borrado los datos. Esto se debe al alto costo de las máquinas de desmagnetización, que son difíciles de permitir para el consumidor medio.

Una técnica más utilizada para garantizar la eliminación de datos es la destrucción física del dispositivo. El NIST recomienda que "la destrucción física se puede lograr utilizando una variedad de métodos, incluyendo la desintegración, la incineración, la pulverización, la trituración y la fundición". ^[16]

Ofuscación de rastros

El objetivo de la ofuscación de rastros es confundir, desorientar y desviar el proceso de examen forense. La ofuscación de rastros abarca una variedad de técnicas y herramientas que incluyen "limpiadores de registros, suplantación de identidad , desinformación , saltos de red troncal, cuentas zombi y comandos troyanos". ^[3]

Una de las herramientas de ofuscación de rastros más conocidas es Timestomp (parte del Metasploit Framework ). ^[10] Timestomp le da al usuario la capacidad de modificar los metadatos de los archivos relacionados con el acceso, la creación y las fechas/horas de modificación. ^[2] Al usar programas como Timestomp, un usuario puede inutilizar cualquier cantidad de archivos en un entorno legal al poner en duda directamente la credibilidad de los archivos. ^{[ cita requerida ]}

Otro programa conocido para ofuscar rastros es Transmogrify (también parte del Metasploit Framework). ^[10] En la mayoría de los tipos de archivos, el encabezado del archivo contiene información de identificación. Un archivo (.jpg) tendría información de encabezado que lo identificaría como ( .jpg ), un archivo ( .doc ) tendría información que lo identificaría como (.doc), y así sucesivamente. Transmogrify permite al usuario cambiar la información de encabezado de un archivo, por lo que un encabezado (.jpg) podría cambiarse a un encabezado (.doc). Si un programa de análisis forense o un sistema operativo realizara una búsqueda de imágenes en una máquina, simplemente vería un archivo (.doc) y lo pasaría por alto. ^[2]

Ataques contra la informática forense

En el pasado, las herramientas antiforenses se han centrado en atacar el proceso forense destruyendo datos, ocultándolos o alterando la información sobre el uso de los mismos. Recientemente, la ciencia forense se ha trasladado a un nuevo ámbito en el que las herramientas y técnicas se centran en atacar las herramientas forenses que realizan los exámenes. Estos nuevos métodos antiforenses se han beneficiado de una serie de factores, entre los que se incluyen procedimientos de examen forense bien documentados, vulnerabilidades de herramientas forenses ampliamente conocidas y una gran dependencia de las herramientas por parte de los examinadores forenses digitales. ^[3]

Durante un examen forense típico, el examinador crearía una imagen de los discos de la computadora. Esto evita que la computadora original (evidencia) sea contaminada por herramientas forenses. Los hashes son creados por el software de examen forense para verificar la integridad de la imagen. Una de las técnicas anti-herramientas recientes apunta a la integridad del hash que se crea para verificar la imagen. Al afectar la integridad del hash, cualquier evidencia que se recopile durante la investigación posterior puede ser cuestionada. ^[3]

Físico

Para evitar el acceso físico a los datos mientras el ordenador está encendido (por ejemplo, en caso de robo o incautación por parte de las fuerzas de seguridad), existen diferentes soluciones que se podrían implementar:

• Los marcos de software como USBGuard o USBKill implementan políticas de autorización de USB y políticas de método de uso. Si el software se activa, al insertar o quitar dispositivos USB, se puede realizar una acción específica. ^[17] Después del arresto del administrador de Silk Road , Ross Ulbricht , se han creado varias herramientas antiforenses de prueba de concepto para detectar la confiscación del ordenador del propietario para apagarlo, haciendo así que los datos sean inaccesibles si se utiliza el cifrado de disco completo. ^{[18] [19]}
• Anclajes de cables de hardware que utilizan la ranura de seguridad Kensington para evitar robos por parte de ladrones oportunistas.
• Cables de seguridad de hardware como BusKill que bloquean, apagan o borran datos cuando se expulsan
• Uso de una función de detección de intrusión en el chasis de una computadora o de un sensor (como un fotodetector ) equipado con explosivos para su autodestrucción . En algunas jurisdicciones, este método podría ser ilegal, ya que podría mutilar gravemente o matar a un usuario no autorizado y podría consistir en la destrucción de pruebas . ^[20]
• Se puede quitar la batería de una computadora portátil para que funcione solo cuando está conectada a la fuente de alimentación. Si se quita el cable, la computadora se apagará de inmediato y se perderán los datos. Lo mismo ocurrirá en caso de una subida de tensión.

Algunos de estos métodos se basan en apagar la computadora, mientras que los datos pueden permanecer retenidos en la RAM desde un par de segundos hasta un par de minutos, lo que teóricamente permite un ataque de arranque en frío . ^{[21] [22] [23]} La congelación criogénica de la RAM puede extender este tiempo aún más y se han detectado algunos ataques en la naturaleza. ^[24] Existen métodos para contrarrestar este ataque y pueden sobrescribir la memoria antes de apagar. Algunas herramientas antiforenses incluso detectan la temperatura de la RAM para realizar un apagado cuando está por debajo de un cierto umbral. ^{[25] [26]}

Se han hecho intentos de crear un ordenador de sobremesa resistente a las manipulaciones (a fecha de 2020, el modelo ORWL es uno de los mejores ejemplos). Sin embargo, la investigadora de seguridad y fundadora de Qubes OS, Joanna Rutkowska , debate la seguridad de este modelo en particular . ^[27]

Uso por parte de delincuentes

Si bien el estudio y las aplicaciones de la anti-forense están generalmente disponibles para proteger a los usuarios de ataques forenses a sus datos confidenciales por parte de sus adversarios (por ejemplo, periodistas de investigación, defensores de derechos humanos, activistas, espionaje corporativo o gubernamental ), Mac Rogers de la Universidad de Purdue señala que las herramientas anti-forenses también pueden ser utilizadas por delincuentes.

Rogers utiliza un enfoque más tradicional de "escena del crimen" para definir la anti-ciencia forense: "Intentos de afectar negativamente la existencia, cantidad y/o calidad de la evidencia de una escena del crimen, o hacer que el análisis y examen de la evidencia sea difícil o imposible de realizar". ^[3]

Eficacia de la anti-forense

Los métodos antiforenses se basan en varias debilidades del proceso forense, entre ellas: el elemento humano, la dependencia de herramientas y las limitaciones físicas y lógicas de las computadoras. ^[28] Al reducir la susceptibilidad del proceso forense a estas debilidades, un examinador puede reducir la probabilidad de que los métodos antiforenses tengan un impacto exitoso en una investigación. ^[28] Esto se puede lograr brindando mayor capacitación a los investigadores y corroborando los resultados utilizando múltiples herramientas.

Véase también

• Función hash criptográfica
• Remanencia de datos
• DESCAFEINADO
• Desimanar
• Encriptación
• Controlador de disco forense
• Privacidad de la información
• Archivo de claves
• Herramienta de eliminación de metadatos
• Negación plausible
• Tails (sistema operativo)

Notas y referencias

1. The Grugq (2002). "Derrotando el análisis forense en Unix" . Consultado el 6 de septiembre de 2019 .Revista Phrack.
2. Berinato, S. (2007). El auge de la investigación antiforense. Recuperado el 19 de abril de 2008 de CSO Online: https://www.csoonline.com/article/521254/investigations-forensics-the-rise-of-anti-forensics.html
3. Rogers, DM (2005). Presentación antiforense realizada en Lockheed Martin. San Diego.
4. Hartley, W. Matthew (agosto de 2007). "Amenazas actuales y futuras para la investigación forense digital" (PDF) . ISSA. Archivado desde el original (PDF) el 22 de julio de 2011. Consultado el 2 de junio de 2010 .
5. "Black Hat USA 2005 – Catch Me If You Can – 27 de julio de 2005". Foster, JC y Liu, V. (2005). Archivado desde el original el 19 de enero de 2016. Consultado el 11 de enero de 2016 .
6. Peron, CSJ (na). Antiforense digital: tendencias emergentes en técnicas de transformación de datos. de Seccuris: http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf Archivado el 19 de agosto de 2008 en Wayback Machine.
7. Henry, PA (2006). Informática segura con antiforenses [archivo de vídeo de LayerOne]. Recuperado de https://www.youtube.com/watch?v=q9VUbiFdx7w&t=2m18s
8. Berghel, H. (2007 / Vol. 50, No. 4). Ocultación de datos, ciencia forense y anti-ciencia forense. Comunicaciones de la ACM, 15-20.
9. Carr, J. (2007). Métodos antiforenses utilizados por sitios web yihadistas. Recuperado el 21 de abril de 2008 de eSecurityPlanet: http://www.esecurityplanet.com/prevention/article.php/3694711 Archivado el 30 de julio de 2012 en archive.today
10. «Metasploit Anti-Forensics Project (MAFIA) - Bishop Fox». Vincent Liu. Archivado desde el original el 19 de enero de 2016. Consultado el 11 de enero de 2016 .
11. "Mitos sobre el borrado de discos y las unidades de estado sólido". 3 de diciembre de 2012.
12. "¿Qué es la destrucción de datos? Las mejores formas de borrar tus datos de forma segura". 13 de enero de 2020.
13. "Shred(1) - Página del manual de Linux".
14. "Página de manual de Ubuntu: SRM - eliminación segura (kit de herramientas Secure_deletion)". Archivado desde el original el 29 de agosto de 2017. Consultado el 15 de mayo de 2020 .
15. "Borrado seguro y borrado de datos de la SSD, ¿funcionará?". 23 de marzo de 2017. Archivado desde el original el 23 de octubre de 2017. Consultado el 15 de mayo de 2020 .
16. Kissel, R., Scholl, M., Skolochenko, S. y Li, X. (2006). Pautas para la desinfección de medios. Gaithersburg: División de Seguridad Informática, Instituto Nacional de Normas y Tecnología.
17. "USBGuard". GitHub . 12 de febrero de 2022.
18. "Hephaest0s/Usbkill". GitHub . 12 de febrero de 2022.
19. "Guardián de la seda". GitHub . 19 de enero de 2022.
20. "Ley de destrucción de pruebas y definición legal | USLegal, Inc".
21. Halderman, J. Alex; Schoen, Seth D.; Heninger, Nadia; Clarkson, William; Paul, William; Calandrino, Joseph A.; Feldman, Ariel J.; Appelbaum, Jacob; Felten, Edward W. Para que no lo recordemos: ataques de arranque en frío en claves de cifrado (PDF) . 17º Simposio de seguridad de USENIX.
22. R. Carbone; C. Bean; M. Salois. "Análisis en profundidad del ataque de arranque en frío" (PDF) . Defense Research and Development Canada. Archivado desde el original (PDF) el 2020-07-22 . Consultado el 2020-05-15 .
23. Salessawi Ferede Yitbarek; Misiker Tadesse Aga; Reeturparna Das; Todd Austin. Los ataques de arranque en frío siguen siendo populares: análisis de seguridad de los codificadores de memoria en los procesadores modernos (PDF) . Simposio internacional IEEE de 2017 sobre arquitectura informática de alto rendimiento. Archivado desde el original (PDF) el 18 de septiembre de 2020. Consultado el 15 de mayo de 2020 .
24. "Arranque en frío".
25. "Proteja Linux de ataques de arranque en frío con TRESOR | Linuxaria".
26. "Tails - Protección contra ataques de arranque en frío".
27. "Reflexiones sobre la computadora ORWL "físicamente segura" | Las Cosas Invisibles".
28. Harris, R. (2006). Llegando a un consenso anti-forense: Examinando cómo definir y controlar el problema anti-forense. Recuperado el 9 de diciembre de 2010, de: http://www.dfrws.org/2006/proceedings/6-Harris.pdf Archivado el 14 de marzo de 2012 en Wayback Machine.

Enlaces externos

• Evaluación de herramientas comerciales de contrainformática en Wayback Machine (archivado el 30 de diciembre de 2014)
• Herramientas antiforenses: análisis y recuperación de datos
• Actas arbitradas del 5º Taller anual de investigación forense digital, DFRWS 2005 en DBLP
• Llegando a un consenso anti-forense: Examinando cómo definir y controlar el problema anti-forense en Wayback Machine (archivado el 14 de marzo de 2012) doi :10.1016/j.diin.2006.06.005
• Clase Anti-Forense Poco más de 3 horas de video sobre el tema de las técnicas anti-forenses.