Charla impartida por Juan Luis García Rambla de Informática 64, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.

1. AntiforenseTécnicas y herramientas Juan Luis García Rambla Responsable Departamento de Seguridad MVP Security jlrambla@informatica64.com

2. Introducción

3. Toda técnica enfocada a: Ocultar. Eliminar. Alterar Evidencias o su existencia en un caso forense ¿Qué es antiforense?

4. Las técnicas antiforense se aplican como contramedidas en: Online-Forensics. Offline-Forensics. ¿Qué escenarios existen?

5. El potencial atacante busca: Que la información exista aunque se dificulte o complique su detección. Disfrazar en información superflua, información crítica para un caso. Modificar la información para su dificultad a la hora de realizar un análisis forense. Eliminar los datos existentes para impedir el descubrimiento de evidencias. Garantías

6. El primer objetivo será siempre intentar detectar la existencia de medidas antiforense En algunas circunstancias las técnicas podrá ser detectada y recuperarse las evidencias. En otras solo podrán detectarse las técnicas. Otras veces no pueden ser detectadas ni las técnicas. La detección de determinadas técnicas requieren a veces el análisis de tipo online. Detección de técnicas

7. Ocultación de la información

8. Consiste en impedir que el sistema o aplicaciones de búsqueda puedan detectar determinada información. La información está ahí pero resulta difícil su recuperación. Determinadas aplicaciones están especificados para escenarios online. Las de ocultación en análisis offline también serán válidos para búsqueda online. Ocultar

9. Determinadas aplicaciones aprovechan capacidades del sistema operativo no explotables directamente pero en esencia “conocidas”. Espacio desaprovechado: Slack. Funcionalidad del sistema de ficheros: ADS. Aprovechando el sistema operativo

10. Demo Slacker

11. Determinadas aplicaciones de mercado ocultan ficheros en el sistema. Eliminan de la tabla de particionamiento (MFT). Recogen toda una carpeta o ficheros sueltos en un único fichero cambiándoles el formato. Por ejemplo lo incluyen en formato HTML. Ocultando ficheros

12. Demo FHF

13. Alteración de la información

14. En muchos escenarios se intenta confundir al investigador alterando los datos existentes para dificultar la investigación. El objetivo principal son algunas de las figuras típicas del análisis forense. Algunas aplicaciones son especialmente diseñadas como contramedidas para herramientas forense. Alteración

15. Decaf es una herramienta que trabaja como residente en el sistema esperando la ejecución de COFEE para empezar a alterar el sistema. Modifica el sistema. MAC de la tarjeta de red. Deshabilita dispositivos. Elimina información crítica del equipo. Mata procesos. Permite que puedas recibir un correo cuando un equipo que tiene instalado Decaf, está siendo analizado por Cofee. Decaf vs COFEE

16. Demo

17. La línea temporal de los ficheros suele ser un dato crítico para llevar a cabo una investigación. Ataques, alteraciones del sistema o modificaciones de ficheros importantes son objetivos en el análisis temporal. Determinadas aplicaciones permiten la modificación de los tiempos de ficheros. En algunas circunstancias pueden alterar de tal forma los datos para que no puedan ser ni leídos por aplicaciones forense de reconocido prestigio Línea temporal

18. En ocasiones cifrar es una alternativa a la ocultación. Se sabe que la información está ahí pero es necesario conocer de que forma se cifra para poder descifrar su contenido. Se puede llegar a combinar con otras técnicas de antiforense. Algunas de la suite antiforense presentan capacidades de cifrado para ejercitarlas sobre ficheros. Cifrado

19. Eliminación de la información

20. A veces para un potencial atacante la mejor forma de no dejar rastros es eliminar la información existente. Determinadas aplicaciones y suite permiten eliminar el contenido de ficheros o discos “Wipeando” su contenido. Para evitar una recuperación offline es necesario varias pasadas de 1 y 0. Eliminando datos