Archivos de la categoría ‘anti-forensic’

Analisis Forense: La segunda generación de herramientas

19 de Abril de 2010

Las actuales herramientas forenses con las que habitualmente trabajamos están siendo victimas de una rápida obsolescencia, todas ellas (comerciales o no) forman parte de lo que podriamos denominar primera generación y comparten arquitectura y problematica comun. Las herramientas no van al ritmo del aumento de la complejidad y el volumen de datos necesarios para realizar analisis en el siglo XXI.

Todas las herramientas de primera generacion poseen una arquitectura común - son programas de aplicación que se ejecutan en PCs (de escritorio o portatiles) y ejecutandose generalmente bajo Windows. Aunque existen algunas que pueden ser usadas para extraer informacion forense de por ejemplo bases de datos remotas, normalmente solo permites extraer informacion de un solo equipo.

En los ultimos años, estamos asistiendo a la aparición de numerosos trabajos y prototipos realizados por investigadores que se orientan en el aumento de la capacidad de proceso (paralelo o usando recursos de la red) de forma que se obtenga la capacidad necesaria para hacer frente a los nuevos analisis.

Uno de estos trabajos fue presentado en la edicion 2009 del Digital Forensic Research Workshop se titulaba A second generation computer forensic analysis system y aunque se trata de un trabajo sin concluir, aporta al lector una interesante reflexion de sobre la obsolescencia de las herramientas, ofreciendo al lector una serie de criterios para que la segunda generacion de herramientas forenses pueda cumplir sus nuevos objetivos.

  • Mejoras de la velocidades relativa y absoluta, incluyendo el uso de clusters Beowulf.
  • Mejoras en la integridad, fiabilidad y precision del software, tomando formas de trabajo y estandares de los sistemas aeroespaciales y militares.
  • Mayor trazabilidad, auditabilidad y repetibilidad usando tecnicas de work-flow.
  • Mejoras en el interface de usuario, elevando la abstraccion hacia representaciones distintas a los sistemas de ficheros.

Cofee se filtra a las p2p

13 de Marzo de 2010

Efectivamente, todo parece indicar que Microsoft Cofee se ha filtrado a las redes p2p. Como recordaran nuestros lectores por nuestros post Cofee se trata de un USB que dispone de dispone de 150 comandos que permiten la extraccion de la informacion de un ordenador sin necesidad de confiscarlo y trasladarlo,;  es capaz de extraer múltiples datos de un ordenador, enfocándose en el material que pueda revelar alguna actividad ilegal, desde pornografía infantil hasta piratería informática. Su distribución se encuentra restringida a las fuerzas y cuerpos de seguridad.

La parte preocupante de que se haya filtrado a la red es que, puede suponer que Cofee sea estudiado en detalle y sometido a tecnicas de ingenieria inversa para llegar a poder aplicarle tecnicas antiforenses y de esta forma eludir o bloquear sus metodos de recoleccion.

El cifrado de discos y su impacto en el analisis forense

13 de Octubre de 2009

De todos es conocido que el cifrado fuerte es una de las mejores medidas de protección para mantener la confidencialidad y prevenir el acceso no autorizado a los datos, la necesidad de dar cobertura simultanea a estos puntos, esta haciendo que cada día proliferen más. Este intersante articulo publicado en el ACM SIGOPS Volume 42 Issue 3 presenta la evolucion del cifrado completo de discos (full disk encription - FDE) y su posible impacto en el analisis forense.

La creciente incoporacion del cifrado total tanto en los modernos sistemas operatvos como en las propias unidades de disco, esta creando nuevos retos para los analistas forenses que ahora se encuentran ante mecanismos de cifrado fuertes que no pueden ser circunvalados si no es mediante la introducción de la correspondiente frase de paso o contraseña de acceso.

Asi mismo, se trata la virtualización de sistemas como uno de los metodos mas eficaces para realizar analisis forense de sistemas com FDE.

Una lectura más que recomendable para afrontar los retos planteados por los FDE.

La Policia neozelandesa presenta una nueva herramienta forense

8 de Octubre de 2009

Según publica el New Zeland Herald tecnicos del laboratorio de la policía han creado un sistema informático para ayudar a los detectives de examinar los ordenadores decomisados y otros artículos que contengan microchips.

El Laboratorio de Delitos Electrónicos que conmemoró el pasado Agosto su 25 aniversario, realizo formalmente el lanzamiento del dispositivo - conocido como un medio para “pruebas virtualizado” (EVE) -cuyo desarrollo se realizo integramente ‘in house’.

Permite a los investigadores a examinar un ordenador incautado o otros dispositivos de almacenamiento en sus propios ordenadores:

Según publica el mendionado periodico, hay retrasos de hasta dos años en el procesamiento de pruebas, debido sobre todo a la escasez tanto de medios tecnicos como humanos para la realizacion del analisis.

Los equipos de apoyo

17 de Agosto de 2009

El Computer Analysis and Response Team (CART) cuya creación se remonta mediados de la decada de 1980 como heredero directo del programa de medios magnéticos el encargado de prestar apoyo a las oficinas locales del FBI en la obtención e incautación de evidencias electrónicas, también realiza analisis forenses y apoyo tecnico en las investigaciones.

Entornos virtuales y analisis forense

3 de Agosto de 2009

El International Journal of Digital Evidence en su edición Fall 2007, Volume 6, Issue 2 publica un muy interesante articulo en el que sus autores abordan la problematica del uso de entornos virtuales durante la fase de investigacion en un forense.

El articulo comienza analizando los conceptos generales de los entornos virtuales y algunas de las herramientas mas usadas. De todos es conocido que estos entornos poseen algun tipo de limitaciones, pero los autores, lejos de limitarse a enumerarlas y concluir que su uso no es recomendable, proponen un nuevo enfoque en el que son usados los dos entornos: el virtual y el fisico. Ambos son usados de forma independiente con el objetivo de reducir de forma apreciable el tiempo y tambien el nivel de cualificacion del personal que los usan.

Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem

13 de Junio de 2009

Ryan Harris de la CERIAS, Purdue University escribe un muy muy interesante articulo;asobre las diferentes tecnicas basicasdel anti-forensic, según su autor las tecnicas básicas se dividen en:

  • Destruccion de la evidencia, por ejemplo mediante el borrado seguro.
  • Ocultación de la evidencia, mediante tecnicas esteganograficas, por ejemplo.
  • Eliminacion de las evidencias
  • Falsificacion de la evidencia.

Aunque data del 2006 y en el mundo de la tecnologia esto puede parecer una eternidad, en nuestra opinion sigue de total vigencia

Anti-Forensic

7 de Junio de 2009

La semana pasada en el Foro de las Evidencias Electrónicas, Luis Fernández editor de la Revista Sic preguntó a las “policias” y cosultores presentes en una de las mesas, qué medidas iban a tomar para defenderse de las técnicas anti-forensic. Nadie cuajó la faena y se escucho incluso alguna respuesta pintoresca.

La palabra Anti-Forensic describe las herramientas y técnicas que  son usadas para anular las herramientas forenses, las investigaciones y los investigadores.

Los principales objetivos del anti-forensic:

• Evitar la detección
• Interrumpir la recogida de información
• Incrementar el tiempo de recogida y examen
• Crear las dudas o sobre los informes forenses o testimonios.
• Hacer que la herramienta forense sea visible
• Destruir o subvertir la herramienta forense, atacando al examinador
• Eliminar la evidencias del uso del anti-forensic.

El metodo mas ampliamente utilizado contra las tecnicas forenses es el borrado seguro de los medios magneticos, sobre todo los reescribibles, pero existen un sinfin de metodos que permiten cumplir los obtetivos arriba marcados.

Bajo un estricto punto de vista forense, el conocimiento de los metodos contra-forenses se convierte en una ventaja competitiva y una oportunidad de mejora para nuestros sistemas siempre y cuando hagamos uso eficiente algunas de las contramedidas que se ponen a nuestra disposición, por ejemplo:

• Almacenamiento de las evidencias en sistemas innacesibles.
• Uso de medios de lectura unica
• Uso de sistemas de archivos cifrados

Como vemos que el tema se pone de moda, hemos abierto una sección que en la que iremos refiriéndonos a estas herramientas.

In Depth Anti-Forensics: Steganography

6 de Junio de 2009

Encontraréis en este articulo un análisis en profundidad del uso de la esteganografia para la ocultacion de información en los sistemas de archivos mas populares y asi evitar las tecnicas de analisis forense.

Tras su lectura se tendra una mejor idea de las posibilidades que bajo el punto de vista forensic/anti-forensic nos ofrece la esteganografia.

Digital Insider: Anti-Digital Forensics, The Next Challenge

13 de Abril de 2009

La prestigiosa revista Forensic Magazine presenta esta intersante serie de articulos en los que la autora presenta los aspectos basicos de las tecnicas anti-forensic.

Esta dividido en dos articulos (1 ,2) y realiza una muy buena exposicion de todas las tenicas comenzando por una seria definicion de anti-forensic

Acerca de aedel

Con el fin de impulsar la seguridad y la confianza en la fiabilidad de las evidencias y pruebas electrónicas, un grupo de profesionales de la seguridad TI, el Derecho y la protección de datos han constituido AEDEL.
Seguir leyendo...

Opciones para suscribirte

 Suscríbete mediante un lector RSS o vía correo electrónico:

Teclee su email:  

BÚSQUEDA