Inicio / Blog / Técnicas Anti-Forense

Técnicas Anti-Forense

Publicado el 02/12/2014, por Asier Martínez (INCIBE)
Técnicas Anti-Forense

De acuerdo a la técnica anti-forense utilizada, se puede identificar la siguiente clasificación: 1. Destrucción de la evidencia - 2 Ocultación de la evidencia. - 3. Eliminación de las fuentes de la evidencia. - 4. Falsificación de la evidencia.

1. DESTRUCCIÓN DE LA EVIDENCIA

Este método busca tanto la eliminación de la evidencia como imposibilitar su recuperación.

Para ello, se pueden llevar a cabo dos estrategias:

Para intentar recuperar información sobrescrita, dañada o eliminada se utilizan diferentes técnicas como el file carving o slack space.

File carving: es un proceso que consiste en la identificación y recuperación de archivos a partir de las características de formato de los mismos.

En general, todos los tipos de ficheros tienen características comunes. Por ejemplo, atendiendo a su estructura, todos los ficheros JPG/JFIF empiezan por FF D8 FF E0 00 10 4A 46 49 46 00 y terminan por FF D9, como se puede observar en la siguiente imagen.

Estructura de un fichero JPG/JFIF

Sabiendo esto, en bloques de datos, se pueden localizar aquellos que correspondan a JPGs en base al comienzo y fin de su estructura.

Slack space: cuando Windows elimina un fichero, en el caso de los discos duros que no son SSD, no lo elimina realmente sino que borra las referencias al propio fichero, como si de un libro de texto se eliminase el índice, pero no la información a la que referencia. Además, declara el espacio ocupado por el fichero como disponible, por lo que cuando se guarda un fichero nuevo se utiliza dicho espacio.

En el caso de que el nuevo fichero ocupe un tamaño menor al tamaño del clúster en el que se va a almacenar (unidad más pequeña de almacenamiento de un disco, la cual está formada por varios sectores), el espacio sobrante es conocido como slack space, el cual mantiene información correspondiente a ficheros que han sido previamente eliminados, como se observa en la siguiente imagen.

Slack Space

Así mismo, existen una serie de herramientas que permiten la ocultación de información de manera deliberada en el espacio sin asignar, si bien dicha información puede ser recuperada mediante técnicas forenses y software especializado.

Se debe tener presente que este tipo de técnicas, tanto de file carving como de recuperación de los ficheros en slack space, se desarrollan a través de un proceso lento y costoso en lo que a recursos se refiere, y que su grado de eficacia no es del todo óptimo.

2. OCULTAR LA EVIDENCIA

Este método no busca manipular o destruir la evidencia sino hacerla lo menos accesible posible. Para ello, se pueden utilizar técnicas como «covert channels» o esteganografía que permite la ocultación y el enmascaramiento de cierta información dentro de otra.

Para detectar este tipo de prácticas, se deben utilizar herramientas de estegoanálisis, que mediante complejos mecanismos estadísticos o mediante la búsqueda de anomalías con respecto a los formatos estándar, buscan información oculta.

En el ejemplo mostrado a continuación, correspondiente a esteganografía, ambas imágenes parecen exactamente iguales, sin embargo, la segunda contiene el texto oculto: "Mensaje secreto oculto con steghide".

Ejemplo de esteganografía

Un caso específico de «covert channels» es el sistema de archivos NTFS, que presenta una característica, conocida como Alternate Data Streams, a través de la cual se puede ocultar un fichero dentro de otro, como se puede observar en la siguiente imagen.

Alternate data streams

Esta característica puede ser utilizada para esconder imágenes en ficheros de texto sin que éstos varíen su tamaño original o incluso para camuflar ficheros comprimidos dentro de imágenes. A partir de Windows Vista mediante el parámetro /R en el comando DIR se pueden visualizar las alternate data streams, pero para versiones anteriores se debe utilizar herramientas específicas como ADSCheck o Streams.

Cabe destacar que la práctica de «covert channels» o la esteganografía pueden ser combinadas con métodos criptográficos con el fin de dificultar aún más la investigación.

La utilización de la criptografía como método de protección de información ha tenido una gran importancia a lo largo de la historia; desde los tiempos del cifrado César, pasando por la máquina Enigma, hasta la actualidad, se han utilizado diferentes métodos para añadir una capa de seguridad a los datos. El uso de herramientas de cifrado obstaculiza notablemente el trabajo de un investigador, el cual debe remitirse a métodos de criptoanálisis como meet in the middle, side-channel attacks o ataques por fuerza bruta para poder visualizar el contenido cifrado.

Otra técnica utilizada, principalmente por los cibercriminales, para ocultar evidencias son los rootkits. Es por ello que, a la hora de recopilar evidencias en un análisis forense, se debe utilizar un kit de recopilación y análisis de evidencias con utilidades totalmente independientes a las del sistema con el fin de intentar asegurar la veracidad de los datos. Algunas herramientas como Procl o RootkitRevealer permiten realizar un listado de ficheros utilizando en primer lugar la API del sistema y posteriormente realizar otro listado mediante sus propios métodos implementados. Una vez finalizados ambos listados, los comparan y permiten visualizar la existencia de ficheros ocultos.

Otra manera de detectar rootkits consiste en arrancar el sistema que se sospecha afectado por un rootkit desde otro sistema (CD-ROM o USB), de modo que el rootkit se mantendrá inactivo por lo que su detección será relativamente sencilla.

3. ELIMINACIÓN DE LAS FUENTES DE LA EVIDENCIA

Esta técnica puede considerarse la más básica, ya que simplemente consiste en evitar dejar huellas para ocultar el rastro y así no ser detectado. Una manera sencilla puede ser si se pretende evitar cualquier tipo de escritura en disco, por ejemplo desactivando los logs del sistema.

4. FALSIFICACIÓN DE LA EVIDENCIA

Este método consiste en la creación de evidencias falsas con el fin de dificultar el trabajo de los investigadores. Algunos de los ejemplos de falsificación de evidencias más habituales son: