Análisis y técnicas anti forenses

Publicado por Sergio Hernando

Todo ying tiene su yang, y el análisis forense no iba a ser una excepción.

forensics

Una vez conocidas las principales técnicas de forensia informática es relativamente sencillo deducir las técnicas de evasión forense complementarias que harían dificultoso o llegado el caso inviable la aplicación exitosa del análisis forense.

Definición de análisis forense informático

Para los que no sepáis a ciencia cierta qué es la informática forense, quizás citar la definición que ofrece el FBI al respecto, la cual me permito modificar un poquito:

La forensia informática es la ciencia ocupada del estudio de la adquisición, obtención, preservación y presentación de evidencias electrónicas procesadas y conservadas en un medio computacional determinado.

¿Para qué sirve el análisis forense informático?

El principal objetivo del análisis forense informático es la obtención de evidencias que permitan, sin dar lugar a la duda razonable:

El análisis completo y exhaustivo de incidencias que posteriormente podemos modelizar a través de un esquema que impida la repetición de una incidencia similar futura
La puesta a disposición y procesado judicial de criminales y cibercriminales
La justificación para poder cuantificar los daños infligidos por los atacantes

La antítesis entre forensia y anti forensia

Pondremos un ejemplo sumamente sencillo de esta antítesis. Imaginemos que en un curso nos enseñan a abrir una cerradura sin emplear su llave, acto que habitualmente llamamos en el argot lockpicking. Pues bien, si conocemos las técnicas de lockpicking no es difícil que, a la hora de diseñar una cerradura, apliquemos técnicas que eviten los intentos de apertura sin la llave original.

Con el análisis forense y anti forense pasa algo muy parecido. Si conocemos las técnicas de análisis, podemos considerarlas a la hora de gestionar un sistema para evitarlas en caso de análisis posteriores. Otro ejemplo: en la forensia médica, los analistas toman huellas con polvo magnético en superficies no pulimentadas. Por tanto, si dejamos una huella y aplicamos alguna técnica invalidante del polvo magnético, estaremos aplicando la correspondiente técnica anti forense.

Las técnicas anti forenses son menos populares que sus antagónicas, pero no por ello menos importantes. Conocer métodos anti forenses puede ser muy interesante si queremos evitar que un análisis forense no deseado revele información o trazas de cualquier tipo, o que en el peor de los casos, minimice la revelación de evidencias.

En el otro lado de la balanza tenemos las técnicas anti forenses con fines maliciosos. Si yo soy un intruso en un sistema y aplico técnicas y contramedidas de forensia, puedo dificultar o impedir que un analista cualificado pueda después seguir mi rastro. Obviamente no es el objetivo de este pequeño artículo hablar de estos usos maliciosos, sino conocerlas para poder impedir precisamente eso: que los intrusos puedan borrar demasiadas huellas una vez nos visiten.

Este nuevo rizo en el rizo es algo complicado, y es un efecto ping pong sin fin. Es decir, nosotros, conocedores de las técnicas forenses, diseñamos e implementamos controles para evitar la anti forensia. Los intrusos expertos conocen las técnicas anti forenses, y por tanto emplean medios para evadir a su vez las técnicas anti evasivas. Nosotros conocemos que los intrusos expertos tienen técnicas de evasión de técnicas anti forenses, y por tanto diseñamos medidas para evitar que la aplicación de contramedidas .... etc. etc. etc.

Lo usual es quedarse en el primer paso. Es decir, diseñar controles que impidan la anti forensia no controlada y ejecutada por intrusos. Suele ser suficiente.

Este es un tema denso y por tanto os voy a recomendar algunos enlaces que pueden contener información útil sobre anti forensia, con los que podréis profundizar un poco más en estas disciplinas. No dejéis de echarle un ojo.

Más información

Que os aproveche ;)

Pages

futuro robot? futuro inerte?

Banner 1

Paginas en las que participo