Antiforensics

1,233
-1

Published on

Charla impartida por Juan Luis García Rambla de Informática 64, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,233
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
147
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Antiforensics

  1. 1. AntiforenseTécnicas y herramientas<br />Juan Luis García Rambla<br />Responsable Departamento de Seguridad<br />MVP Security<br />jlrambla@informatica64.com<br />
  2. 2. Introducción<br />
  3. 3. Toda técnica enfocada a:<br />Ocultar.<br />Eliminar.<br />Alterar<br />Evidencias o su existencia en un caso forense<br />¿Qué es antiforense?<br />
  4. 4. Las técnicas antiforense se aplican como contramedidas en:<br />Online-Forensics.<br />Offline-Forensics.<br />¿Qué escenarios existen?<br />
  5. 5. El potencial atacante busca:<br />Que la información exista aunque se dificulte o complique su detección.<br />Disfrazar en información superflua, información crítica para un caso.<br />Modificar la información para su dificultad a la hora de realizar un análisis forense.<br />Eliminar los datos existentes para impedir el descubrimiento de evidencias.<br />Garantías<br />
  6. 6. El primer objetivo será siempre intentar detectar la existencia de medidas antiforense<br />En algunas circunstancias las técnicas podrá ser detectada y recuperarse las evidencias.<br />En otras solo podrán detectarse las técnicas.<br />Otras veces no pueden ser detectadas ni las técnicas.<br />La detección de determinadas técnicas requieren a veces el análisis de tipo online.<br />Detección de técnicas<br />
  7. 7. Ocultación de la información<br />
  8. 8. Consiste en impedir que el sistema o aplicaciones de búsqueda puedan detectar determinada información.<br />La información está ahí pero resulta difícil su recuperación.<br />Determinadas aplicaciones están especificados para escenarios online.<br />Las de ocultación en análisis offline también serán válidos para búsqueda online. <br />Ocultar<br />
  9. 9. Determinadas aplicaciones aprovechan capacidades del sistema operativo no explotables directamente pero en esencia “conocidas”.<br />Espacio desaprovechado: Slack.<br />Funcionalidad del sistema de ficheros: ADS.<br />Aprovechando el sistema operativo<br />
  10. 10. Demo Slacker<br />
  11. 11. Determinadas aplicaciones de mercado ocultan ficheros en el sistema.<br />Eliminan de la tabla de particionamiento (MFT).<br />Recogen toda una carpeta o ficheros sueltos en un único fichero cambiándoles el formato. Por ejemplo lo incluyen en formato HTML.<br />Ocultando ficheros<br />
  12. 12. Demo FHF<br />
  13. 13. Alteración de la información<br />
  14. 14. En muchos escenarios se intenta confundir al investigador alterando los datos existentes para dificultar la investigación.<br />El objetivo principal son algunas de las figuras típicas del análisis forense.<br />Algunas aplicaciones son especialmente diseñadas como contramedidas para herramientas forense.<br />Alteración<br />
  15. 15. Decaf es una herramienta que trabaja como residente en el sistema esperando la ejecución de COFEE para empezar a alterar el sistema.<br />Modifica el sistema.<br />MAC de la tarjeta de red.<br />Deshabilita dispositivos.<br />Elimina información crítica del equipo.<br />Mata procesos.<br />Permite que puedas recibir un correo cuando un equipo que tiene instalado Decaf, está siendo analizado por Cofee.<br />Decaf vs COFEE<br />
  16. 16. Demo<br />
  17. 17. La línea temporal de los ficheros suele ser un dato crítico para llevar a cabo una investigación.<br />Ataques, alteraciones del sistema o modificaciones de ficheros importantes son objetivos en el análisis temporal.<br />Determinadas aplicaciones permiten la modificación de los tiempos de ficheros.<br />En algunas circunstancias pueden alterar de tal forma los datos para que no puedan ser ni leídos por aplicaciones forense de reconocido prestigio<br />Línea temporal<br />
  18. 18. En ocasiones cifrar es una alternativa a la ocultación.<br />Se sabe que la información está ahí pero es necesario conocer de que forma se cifra para poder descifrar su contenido.<br />Se puede llegar a combinar con otras técnicas de antiforense. Algunas de la suite antiforense presentan capacidades de cifrado para ejercitarlas sobre ficheros.<br />Cifrado<br />
  19. 19. Eliminación de la información<br />
  20. 20. A veces para un potencial atacante la mejor forma de no dejar rastros es eliminar la información existente.<br />Determinadas aplicaciones y suite permiten eliminar el contenido de ficheros o discos “Wipeando” su contenido.<br />Para evitar una recuperación offline es necesario varias pasadas de 1 y 0.<br />Eliminando datos<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×