AntiforenseTécnicas y herramientas<br />Juan Luis García Rambla<br />Responsable Departamento de Seguridad<br />MVP Securi...
Introducción<br />
Toda técnica enfocada a:<br />Ocultar.<br />Eliminar.<br />Alterar<br />Evidencias o su existencia en un caso forense<br /...
Las técnicas antiforense se aplican como contramedidas en:<br />Online-Forensics.<br />Offline-Forensics.<br />¿Qué escena...
El potencial atacante busca:<br />Que la información exista aunque se dificulte o complique su detección.<br />Disfrazar e...
El primer objetivo será siempre intentar detectar la existencia de medidas antiforense<br />En algunas circunstancias las ...
Ocultación de la información<br />
Consiste en impedir que el sistema o aplicaciones de búsqueda puedan detectar determinada información.<br />La información...
Determinadas aplicaciones aprovechan capacidades del sistema operativo no explotables directamente pero en esencia “conoci...
Demo Slacker<br />
Determinadas aplicaciones de mercado ocultan ficheros en el sistema.<br />Eliminan de la tabla de particionamiento (MFT).<...
Demo FHF<br />
Alteración de la información<br />
En muchos escenarios se intenta confundir al investigador  alterando los datos existentes para dificultar la investigación...
Decaf es una herramienta que trabaja como residente en el sistema esperando la ejecución de COFEE para empezar a alterar e...
Demo<br />
La línea temporal de los ficheros suele ser un dato crítico para llevar a cabo una investigación.<br />Ataques, alteracion...
En ocasiones cifrar es una alternativa a la ocultación.<br />Se sabe que la información está ahí pero es necesario conocer...
Eliminación de la información<br />
A veces para un potencial atacante la mejor forma de no dejar rastros es eliminar la información existente.<br />Determina...
Upcoming SlideShare
Loading in...5
×

Antiforensics

1,168

Published on

Charla impartida por Juan Luis García Rambla de Informática 64, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,168
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
146
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Antiforensics

  1. 1. AntiforenseTécnicas y herramientas<br />Juan Luis García Rambla<br />Responsable Departamento de Seguridad<br />MVP Security<br />jlrambla@informatica64.com<br />
  2. 2. Introducción<br />
  3. 3. Toda técnica enfocada a:<br />Ocultar.<br />Eliminar.<br />Alterar<br />Evidencias o su existencia en un caso forense<br />¿Qué es antiforense?<br />
  4. 4. Las técnicas antiforense se aplican como contramedidas en:<br />Online-Forensics.<br />Offline-Forensics.<br />¿Qué escenarios existen?<br />
  5. 5. El potencial atacante busca:<br />Que la información exista aunque se dificulte o complique su detección.<br />Disfrazar en información superflua, información crítica para un caso.<br />Modificar la información para su dificultad a la hora de realizar un análisis forense.<br />Eliminar los datos existentes para impedir el descubrimiento de evidencias.<br />Garantías<br />
  6. 6. El primer objetivo será siempre intentar detectar la existencia de medidas antiforense<br />En algunas circunstancias las técnicas podrá ser detectada y recuperarse las evidencias.<br />En otras solo podrán detectarse las técnicas.<br />Otras veces no pueden ser detectadas ni las técnicas.<br />La detección de determinadas técnicas requieren a veces el análisis de tipo online.<br />Detección de técnicas<br />
  7. 7. Ocultación de la información<br />
  8. 8. Consiste en impedir que el sistema o aplicaciones de búsqueda puedan detectar determinada información.<br />La información está ahí pero resulta difícil su recuperación.<br />Determinadas aplicaciones están especificados para escenarios online.<br />Las de ocultación en análisis offline también serán válidos para búsqueda online. <br />Ocultar<br />
  9. 9. Determinadas aplicaciones aprovechan capacidades del sistema operativo no explotables directamente pero en esencia “conocidas”.<br />Espacio desaprovechado: Slack.<br />Funcionalidad del sistema de ficheros: ADS.<br />Aprovechando el sistema operativo<br />
  10. 10. Demo Slacker<br />
  11. 11. Determinadas aplicaciones de mercado ocultan ficheros en el sistema.<br />Eliminan de la tabla de particionamiento (MFT).<br />Recogen toda una carpeta o ficheros sueltos en un único fichero cambiándoles el formato. Por ejemplo lo incluyen en formato HTML.<br />Ocultando ficheros<br />
  12. 12. Demo FHF<br />
  13. 13. Alteración de la información<br />
  14. 14. En muchos escenarios se intenta confundir al investigador alterando los datos existentes para dificultar la investigación.<br />El objetivo principal son algunas de las figuras típicas del análisis forense.<br />Algunas aplicaciones son especialmente diseñadas como contramedidas para herramientas forense.<br />Alteración<br />
  15. 15. Decaf es una herramienta que trabaja como residente en el sistema esperando la ejecución de COFEE para empezar a alterar el sistema.<br />Modifica el sistema.<br />MAC de la tarjeta de red.<br />Deshabilita dispositivos.<br />Elimina información crítica del equipo.<br />Mata procesos.<br />Permite que puedas recibir un correo cuando un equipo que tiene instalado Decaf, está siendo analizado por Cofee.<br />Decaf vs COFEE<br />
  16. 16. Demo<br />
  17. 17. La línea temporal de los ficheros suele ser un dato crítico para llevar a cabo una investigación.<br />Ataques, alteraciones del sistema o modificaciones de ficheros importantes son objetivos en el análisis temporal.<br />Determinadas aplicaciones permiten la modificación de los tiempos de ficheros.<br />En algunas circunstancias pueden alterar de tal forma los datos para que no puedan ser ni leídos por aplicaciones forense de reconocido prestigio<br />Línea temporal<br />
  18. 18. En ocasiones cifrar es una alternativa a la ocultación.<br />Se sabe que la información está ahí pero es necesario conocer de que forma se cifra para poder descifrar su contenido.<br />Se puede llegar a combinar con otras técnicas de antiforense. Algunas de la suite antiforense presentan capacidades de cifrado para ejercitarlas sobre ficheros.<br />Cifrado<br />
  19. 19. Eliminación de la información<br />
  20. 20. A veces para un potencial atacante la mejor forma de no dejar rastros es eliminar la información existente.<br />Determinadas aplicaciones y suite permiten eliminar el contenido de ficheros o discos “Wipeando” su contenido.<br />Para evitar una recuperación offline es necesario varias pasadas de 1 y 0.<br />Eliminando datos<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×