17/05/2024

Mes: marzo 2019

TAF 3: Borrado Seguro – WIPE

Guido Rosales 21/03/2019

Continuando con la tercera entrega, hoy vamos a referirnos a la técnica de borrado seguro y sobre todo a la gran cantidad de utilitarios para este fin.

Sin duda no se han concebido tools para hacer la elimininacion de evidencia digital, sino mas bien pensando en la privacidad de la información. Estas herramientas precisamente han sido concebidas para evitar fuga de información en dispositivos transferidos por algún motivo.

Para un usuario final puede resultar suficiente boton derecho y eliminar, incluso "vaciar la papelera", pero para un usuario un poquito mas avanzado le resultara mas efectivo utilizar un utilitario de Borrado seguro, el cual en realidad hace lo mas logico en este caso, SOBREESCRIBE.

Asi es, para entender se dice borrado, pero en realidad no existe tal situación, solo se etiqueta el espacio como disponible y cuando llegue un dato que necesite el espacio, podrá ocuparlo.

Cuando hacemos BORRADO SEGURO, el espacio es ocupado de forma aleatoria x veces. Veamos unas tablas que se utilizan para esta referencia:

En ambas tablas tenemos una lista de cantidad de veces y donde se utiliza. Ojo que esto debe servir tambien para la NORMA interna de Borrado seguro, pero ese es otro tema.

Las herramientas para mantenimiento de equipos o para la finalidad especifica de borrar tiene integrado en su lógica, algoritmos para reescribir los datos:

Al final no importa cual. Con alto grado de certeza harán su cometido, por supuesto que en el marco de políticas de seguridad, todos los productos deberán ser probados con herramientas de Data recovery, para comprobar que efectivamente ELIMINAN los datos. Pero con el paso del tiempo, casi TODAS las herramientas que se puedan encontrar bajo el titulo SECURE DELETE, tienen la capacidad de sobrescribir varias veces.

OJO que en esta entrega estamos cubriendo únicamente las herramientas por software, mas adelante daremos espacio a herramientas por hardware que pueden no ser tan selectivas y no hacen borrado a nivel de archivos sino de unidades físicas.

Gran parte de los utilitarios pueden borrar de manera selectiva con botón derecho, es decir direccionaran las cabezas de escritura únicamente al espacio ocupado por el archivo en cuestión, como también pueden eliminar espacio DISPONIBLES, identificados por el sistema operativo, es decir la combinación del borrado simple o vaciado de papelera, crea espacio disponibles, luego se ejecuta la herramienta de mantenimiento y complementar el trabajo.

Los utilitarios pueden acceder a unidades removibles, es decir el sospechoso podría retirar el disco duro de su equipo y conectarlo mediante un adaptador a un puerto USB para poder acceder sin tener que instalar el software, lo cual hace aun mas complejo la identificación de esta técnica.

Generalmente un usuario simple no hace esto, entonces la cantidad de "espacio disponible" guarda relación con el tiempo y tipo de uso. A partir de esto se podrá inferir o no el uso de esta técnica.

Lo mínimo útil sera sospechar del uso de estas herramientas cuando el espacio disponible sea muy notorio en discos de uso intenso.

EFECTO ANTIFORENSE

El uso de esta técnica y herramientas permitirá a un sospechosos en investigación, la posibilidad de eliminar rastros o evidencias.

Considerando el Itercriminis, estas herramientas podrían ser utilizadas antes de la comisión mismo de los hechos, para borrar los actos preparatorios, también podrían ser utilizados después del hecho, entonces afectaría el tiempo transcurrido entre el hecho y su detección con posterior fijamiento de las evidencias.

Entre los puntos periciales siempre se debe considerar la necesidad de recuperar datos borrados, y tambien se debe considerar esta posibilidad por defecto.

TAF 2: DEFRAGMENTACION DE DISCO

Guido Rosales 20/03/2019

Siguiendo con las Tecnicas ANTIFORENSES, hoy vamos a comentar el utilitario, por cierto muy antiguo en el contexto del sistema operativo windows: DEFRAG  o Defragmentador de disco

Imaginen que a media noche llega un grupo de 20 personas al hotel. En ese momento el conserje los  como puede, unos al primer piso, otros al segundo y al tercero.

El grupo esta fragmentado. Similar situación ocurre en la grabación de archivos en los repositorios de almacenamiento. El Sistema operativo, hace la tarea del conserje y acomoda el archivo como puede.

En el hotel, al día siguiente después de la hora del checkout, el conserje ve la disponibilidad de habitaciones libres y hace una defragmenacion del grupo.

EFECTO ANTIFORENSE:

Al igual que las habitaciones desocupadas, los bits de los archivos fragmentados son movidos y van a ocupar el lugar de espacios vacíos que anteriormente pudieron tener información de otros archivos. La sobreposicion es 1 a 1, es decir el nuevo bit ocupa el tamaño del anterior. Diferente a lo que ocurre en discos duros cuando se habla de fileslack o los espacios remanentes de cada cluster. El cluster externo lógicamente tiene el mismo tamaño que el cluster interno.

Esta accion de DEFRAGmentar el disco, puede suponer la sobreposicion de bits que podían contener información relevante para el caso. Si bien es una tarea de soporte técnico que frecuentemente se hace, consideremos que debe estar normada para que no sea una medida antiforense durante el itercriminis para borrar huellas. Nos tocara también analizar si antes de congelar o realizar las copias forenses, se hicieron estas tareas de mantenimiento. Una cosa es hacerlo con un disco pequeño y con poco espacio remanente.

No olviden leer el primer capitulo de esta saga (TAF1: Modificación de hora y fecha):

MANUAL DE TECNICAS ANTIFORENSES – EVIDENCIA DIGITAL

Guido Rosales 19/03/2019

La informática forense, así como otras ciencias de la investigación presenta diversas técnicas que pueden haber sido utilizadas para contaminar o destruir la evidencia digital. Estas técnicas deben ser consideradas como "posibles" al momento de realizar el análisis forense de la evidencia digital y sobre todo al momento de definir PUNTOS PERICIALES..

Los casos citados son más específicos y adecuados a entornos personales. Evidentemente sin políticas y controles empresariales también pueden darse a nivel laboral o de alguna manera pueden involucrar credenciales de administración y super usuarios.

En las siguientes entregas estaré analizando algunas con la finalidad de dar un acercamiento referencial de las mismas. Reitero la finalidad; deben ser consideradas por los investigadores, abogados, jueces y policías antes de dar por cierta o falsa la información que pueda proporcionar este tipo de evidencias.

Por ahora podemos citar algunas de manera referencial y abocarnos en la primera:

  1. Modificación de hora y fecha
  2. Desfragmentación de disco
  3. Borrado seguro y mantenimiento de espacio libre.
  4. Respaldos totales en el mismo equipo.
  5. Autoinfección con malware
  6. Autohackeo con acceso remoto
  7. Cambio de dispositivo y partes
  8. Reinstalación de sistema operativo
  9. Eliminación de logs y registro de eventos
  10. Intermitencia en registro de eventos
  11. Máquinas virtuales
  12. Espacios cifrados
  13. Archivos cifrados
  14. Booteo electivo
  15. Usuarios fantasmas
  16. Lenguaje codificado: apodos y sobrenombres a las acciones y objetos
  17. Modificacion de firmas y extenciones de archivo
  18. Modificacion de cabeceras
  19. Camuflaje de archivos

¡¡y Otras, que sin duda estaremos recordando de los casos atendidos durante mas de 20 años!! Lamentablemente a veces la imaginación para delinquir supera a todas las habilidades humanas.

Vamos con la primera:

MODIFICACIÓN DE HORA Y FECHA

Cuando un archivo se lea, acceda o modifica, estos datos quedan registrados a nivel de metadatos.

Pero si se ha modificado ya sea desde el BIOS (caso de un usuario mas avanzado) o solamente desde el SO las propiedades de ese archivo podrán ser modificadas.

Una opcion es trabajar con fecha pasada:

Mas critico puede ser trabajar con fecha futura:

Los ejemplos son con archivos individuales, pero si despues de modificar las fechas copiamos todo un directorio de trabajo:

Los metadatos seran alterados.

si alguien se anima, puede enviarme por inbox cual es el resultado de esta modificación. Que metadatos son alterados?

EFECTO ANTIFORENSE

Resulta que cuando se investiga un hecho, normalmente se acota el alcance de manera temporal, pero no se esta considerando esta posibilidad.

Cuando la modificación se hace hacia el pasado, se puede estar ocultando sutilmente información relaciona a un hecho puntual.

Cuando la modificación es al futuro, se esta llegando a cuestionar toda la integridad de este control.

Como se puede detectar? Sera tarea de casa investigar. Vamos a juntar respuestas y publicarlas mas adelante.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023