Análisis y técnicas antiforenses

17. 04. 26

Calificación del usuario: 0  / 5

Estrellas inactivasEstrellas inactivasEstrellas inactivasEstrellas inactivasEstrellas inactivas
 
Por: Sergio Hernando

Todo Ying tiene su Yang, y el análisis forense no iba a ser una excepción. 

Una vez conocidas las principales técnicas forenses informáticas es relativamente sencillo deducir las técnicas de evasión forense complementarias que harían dificultoso o llegado el caso inviable la aplicación exitosa del análisis forense.

Definición de análisis forense informático

Para los que no sepáis a ciencia cierta qué es la informática forense, quizás citar la definición que ofrece el FBI al respecto, la cual me permito modificar un poquito:

La informática forense es la ciencia ocupada del estudio de la adquisición, obtención, preservación y presentación de evidencias electrónicas procesadas y conservadas en un medio computacional determinado.

¿Para qué sirve el análisis forense informático?

El principal objetivo del análisis forense informático es la obtención de evidencias que permitan, sin dar lugar a la duda razonable:

  • El análisis completo y exhaustivo de incidencias que posteriormente podemos modelizar a través de un esquema que impida la repetición de una incidencia similar futura.
  • La puesta a disposición y procesado judicial de criminales y cibercriminales.
  • La justificación para poder cuantificar los daños infligidos por los atacantes.
  • La antítesis entre forense y anti forense.

Pondremos un ejemplo sumamente sencillo de esta antítesis. Imaginemos que en un curso nos enseñan a abrir una cerradura sin emplear su llave, acto que habitualmente llamamos en el argot lockpicking. Pues bien, si conocemos las técnicas de lockpicking no es difícil que, a la hora de diseñar una cerradura, apliquemos técnicas que eviten los intentos de apertura sin la llave original.

Con el análisis forense y anti forense pasa algo muy parecido. Si conocemos las técnicas de análisis, podemos considerarlas a la hora de gestionar un sistema para evitarlas en caso de análisis posteriores. Otro ejemplo: en la dactiloscopía, los analistas toman huellas con polvo magnético en superficies no pulimentadas. Por tanto, si dejamos una huella y aplicamos alguna técnica invalidante del polvo magnético, estaremos aplicando la correspondiente técnica anti forense.

Las técnicas anti forenses son menos populares que sus antagónicas, pero no por ello menos importantes. Conocer métodos anti forenses puede ser muy interesante si queremos evitar que un análisis forense no deseado revele información o trazas de cualquier tipo, o que en el peor de los casos, minimice la revelación de evidencias.

En el otro lado de la balanza tenemos las técnicas anti forenses con fines maliciosos. Si yo soy un intruso en un sistema y aplico técnicas y contramedidas forenses, puedo dificultar o impedir que un analista cualificado pueda después seguir mi rastro. Obviamente no es el objetivo de este pequeño artículo hablar de estos usos maliciosos, sino conocerlas para poder impedir precisamente eso: que los intrusos puedan borrar demasiadas huellas una vez nos visiten.

Este nuevo rizo en el rizo es algo complicado, y es un efecto ping pong sin fin. Es decir, nosotros, conocedores de las técnicas forenses, diseñamos e implementamos controles para evitar lo anti forense. Los intrusos expertos conocen las técnicas anti forenses, y por tanto emplean medios para evadir a su vez las técnicas anti evasivas. Nosotros conocemos que los intrusos expertos tienen técnicas de evasión de técnicas anti forenses, y por tanto diseñamos medidas para evitar que la aplicación de contramedidas... etcétera. 

Lo usual es quedarse en el primer paso. Es decir, diseñar controles que impidan lo anti forense, no controlada y ejecutada por intrusos. Suele ser suficiente.

Ir arriba