Detección AntiForense: Introducción

Poco a poco, los usuarios de internet van tomando conciencia de que todo lo que hacemos en la red de redes deja un rastro. La búsqueda de evidencias relativas a la actividad que ha tenido un dispositivo, la aplicación de diversas técnicas científicas y de análisis informático que permitan identificar, preservar, analizar y posteriormente presentar unos datos (ya sea dentro de un proceso judicial o mediante mero encargo profesional) es lo que denominamos comúnmente «Informática Forense». Estas técnicas de identificación, preservación, análisis y presentación de datos corresponden en realidad a un protocolo asumido por la comunidad informática forense, denominado «Protocolo IPAP».

Pero ¿Qué pasa si un usuario, de forma deliberada, intenta eliminar las pruebas, para no verse involucrado en un ilícito? Pues pasa que está haciendo «Antiforense Informática». Evidentemente, cuando se eliminan datos, las cosas se nos complican un poco, a quienes nos dedicamos a esta especialidad.

Sin embargo -y siguiendo el principio de intercambio de Locard- aún es posible detectar cuándo (y en muchas ocasiones, cuáles) herramientas de eliminación se han usado. A esta técnica se le llama «Detección Antiforense». En cualquier caso -y exceptuando la ejecución de sistemas operativos «Live»- casi siempre se puede encontrar, no solo las herramientas antiforense utilizadas, sino también la actividad y/o datos que se han eliminado de los dispositivos electrónicos.

En el congreso #C0nPilar-2018 de Zaragoza hablé sobre algunas técnicas y detección antiforense de dominio público; y sobre cómo detectar lo eliminado, gracias a otras herramientas de recuperación, tales como «Magnet Axiom», o «Autopsy», entre otras. A lo largo de varios artículos os iré desgranando aquella charla.

En el post de hoy voy a limitarme a explicaros algunos conceptos informáticos; algunas definiciones que utilizaremos en los siguientes artículos, cuando nos metamos ya a fondo a analizar, tanto herramientas antiforense, como su «alter ego», de detección. Al tiempo os explicaré cómo recuperar esa información eliminada o, al menos, saber que -en algún momento-, ésta existió en el dispositivo.

Empecemos por explicar los palabros, de la forma más sencilla posible:

  • Antiforense: Es el uso de métodos, herramientas y procesos destinados a obstruir la recuperación de las evidencias electrónicas.
  • NTFS: Nueva tecnología de sistema de ficheros. Es un sistema de almacenamiento de ficheros ideado por Microsoft, para dar respuesta a ciertos problemas de espacio y nomenclatura de ficheros, dentro de un dispositivo de almacenamiento.
  • $MFT: Tabla Maestra de Ficheros. Es el índice en el que se catalogan todos los archivos de un volumen «ntfs». En esta tabla se guardan, tanto el nombre, como los atributos de los archivos, características, etc.
  • MACE: Tabla asociada a $MFT. Refleja los datos de Modificación, acceso, creación y cambio de tiempo de un fichero.
  • SIA: Tabla estándar de información de atributos de un fichero.
  • FNA: Atributo de nombre de fichero.
  • SSD: Disco duro de estado sólido. Discos que permiten almacenar información en memorias Flash, eliminando cualquier componente mecánico, acelerando al tiempo el acceso a la información almacenada.
  • Wipe: Borrado de datos de un dispositivo.
  • Trim: Órden que comunica al Sistema Operativo qué celdas de memoria de una memoria Flash ya no están en uso.
  • Hash: Función resumen. Algoritmo matemático que cuenta elementos (bits, en nuestro caso) y los convierte en un bloque arbitrario de datos en una serie de caracteres únicos de longitud fija.
  • Md5-SHA1-Sha2-Sha512: Algoritmos de reducción criptográficos utilizados en el cálculo de las funciones HASH

En el siguiente artículo empezaré a explicar algunas técnicas y herramientas antiforense, basadas en la modificación/eliminación de los datos almacenados en algunas de las tablas mencionadas anteriormente.

Como siempre ocurre en informática, todo es infinitamente diferente, dependiendo de si es cero, o es uno.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Co-Director del Título Propio «Derecho Tecnológico e Informática Forense», impartido por la UnEx dtif.unex.es

Profesor en el «Máster de Abogacía Digital», impartido por la USAL

Socio Fundador Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Informático Forense – El Blog de Auditores y Peritos Informáticos

[email protected] 

0
Instalar Windows11 Sin TPM Forense a Imágenes

No hay comentarios

Aún no hay comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada.