antiforense

Así como la digitalizacion conlleva nuevas formas de hacer negocios, también viene la transformacion digital del FRAUDE.
Desde delitos tradicionales como fraude en inventarios, transacciones, compras, pasando por manipulación informática de bases de datos hasta Ciber fraudes en servicios cloud tipo SaaS.

El Seminario tiene por objetivo demostrar la evolución de las tipologias de FRAUDE y como estas también sufren su revolución 4.0 y se transforman con todas las nuevas facilidades tecnológicas.

El evento se llevara a cabo de manera presencial en las ciudades de Sucre (23 de mayo), Santa Cruz (7 de junio), Cochabamba(14 de junio) y La Paz (9 de julio) .
El seminario tiene una duración de 3 horas y se llevara a cabo en diferentes horarios según la ciudad sede.

Dirigida a Personal de riesgos, legal, seguridad, auditoria, operaciones y TI.

La inversión es de 300Bs. Para Mayor información solicitar al correo info@yanapti.com

TAF 4: Autoinfeccion con Malware

Guido Rosales 22/03/2019

Continuando con la SAGA TAF - Técnicas Anti Forenses, hoy vamos a referirnos a la acción de AUTOINFECCION CON MALWARE.

Se debe entender que MALWARE es un nombre genérico para diferentes tipos de programas maliciosos, es decir, programas construidos para hacer cosas raras, generalmente con desconocimiento del usuario en el dispositivo infectado.

La clasificación de malware es muy amplia, podemos ver algo en la imagen siguiente:

En que consiste la AUTOINFECCION?

Ya sea de manera particular mediante la acumulación de programas maliciosos o descargando ejemplos de estos de manera intencional

Malware detectado, pero no necesariamente eliminado. Puede quedar en estado de cuarentena, pero sigue latente en el computador. Todo dependerá de la acción siguiente a su detección.

Muestra de un sitio web donde uno puede encontrar muestras de malware. Imaginen un laboratorio de bioquímica donde tienen diferentes cepas de virus, pero cualquiera puede acceder a ellos y descargar unos cuantos.

Evidentemente para esto debe ocurrir una de 2 cosas:

El equipo NO tiene antivirus o este esta completamente desactualizado
El usuario desactiva o reconfigura el antivirus para permitir el ingreso de estos programas. Es como retirar al guardia de la puesta para que entren los ladrones.

Al final, el efecto es tener dispositivos tanto de procesamiento como de almacenamiento con varias muestras de virus.

EFECTO ANTIFORENSE

La acción del Malware es muy diversa, desde simplemente existir, robar claves, colocar archivos, acceder a otros equipos, robar datos, etc. Si el sospechosos ha procedido a ejecutar como acto preparatorio esta TAF, entonces cuando su equipo tenga que ser analizado podrá recurrir a la llave MALWARE para eludir responsabilidad. Es decir apelar a la inocencia parcial o toral y decir que algún intruso mediante técnicas de intrusión con malware ha logrado colocar, borrar u otra acción.

Se han dado casos donde los sospechosos han mantenido esta condición pelando luego a la inocencia parcial por hackers o intrusos que hubieran comprometido sus equipos y acciones desde estos mediante el accionar de algún malware.

No vamos a descartar la DUDA RAZONABLE, dado que en algunos casos el usuario infectado puede ceder claves que posteriormente son utilizadas para la comisión de algún delito.

Pregunto a los colegas del aea legal Podría darse una figura de inimputabilidad informática?

CONDICION DE INIMPUTABLE.

Un sujeto inimputable es aquel que no es responsable penalmente de un ilícito que cometió ya que no está en condiciones de comprender su accionar o las consecuencias de éste.

Podar pedir como punto pericial. la indetificacion de malware en su equipo. Incluso podria tener activado alguno. Ojo. Algo asi como apelar a la demencia temporal.

Por si acaso esta técnica puede ser también defensiva en caso de ver comprometidos sus archivos. Activar un Ransomware, pero estas TAF la veremos en otro capitulo.

Ultima recomendación para los colegas peritos informáticos: El análisis de evidencia digital debe ser realizado en una suerte de SANDBOX o ambiente aislado para mitigar el riesgo de virus.

No se olviden de leer las TAFs ya publicadas:

TAF1: Modificacion de hora y fecha
TAF2: DEFRAGmentacion de disco
TAF3: Borrado seguro

TAF 3: Borrado Seguro – WIPE

Guido Rosales 21/03/2019

Continuando con la tercera entrega, hoy vamos a referirnos a la técnica de borrado seguro y sobre todo a la gran cantidad de utilitarios para este fin.

Sin duda no se han concebido tools para hacer la elimininacion de evidencia digital, sino mas bien pensando en la privacidad de la información. Estas herramientas precisamente han sido concebidas para evitar fuga de información en dispositivos transferidos por algún motivo.

Para un usuario final puede resultar suficiente boton derecho y eliminar, incluso "vaciar la papelera", pero para un usuario un poquito mas avanzado le resultara mas efectivo utilizar un utilitario de Borrado seguro, el cual en realidad hace lo mas logico en este caso, SOBREESCRIBE.

Asi es, para entender se dice borrado, pero en realidad no existe tal situación, solo se etiqueta el espacio como disponible y cuando llegue un dato que necesite el espacio, podrá ocuparlo.

Cuando hacemos BORRADO SEGURO, el espacio es ocupado de forma aleatoria x veces. Veamos unas tablas que se utilizan para esta referencia:

En ambas tablas tenemos una lista de cantidad de veces y donde se utiliza. Ojo que esto debe servir tambien para la NORMA interna de Borrado seguro, pero ese es otro tema.

Las herramientas para mantenimiento de equipos o para la finalidad especifica de borrar tiene integrado en su lógica, algoritmos para reescribir los datos:

Al final no importa cual. Con alto grado de certeza harán su cometido, por supuesto que en el marco de políticas de seguridad, todos los productos deberán ser probados con herramientas de Data recovery, para comprobar que efectivamente ELIMINAN los datos. Pero con el paso del tiempo, casi TODAS las herramientas que se puedan encontrar bajo el titulo SECURE DELETE, tienen la capacidad de sobrescribir varias veces.

OJO que en esta entrega estamos cubriendo únicamente las herramientas por software, mas adelante daremos espacio a herramientas por hardware que pueden no ser tan selectivas y no hacen borrado a nivel de archivos sino de unidades físicas.

Gran parte de los utilitarios pueden borrar de manera selectiva con botón derecho, es decir direccionaran las cabezas de escritura únicamente al espacio ocupado por el archivo en cuestión, como también pueden eliminar espacio DISPONIBLES, identificados por el sistema operativo, es decir la combinación del borrado simple o vaciado de papelera, crea espacio disponibles, luego se ejecuta la herramienta de mantenimiento y complementar el trabajo.

Los utilitarios pueden acceder a unidades removibles, es decir el sospechoso podría retirar el disco duro de su equipo y conectarlo mediante un adaptador a un puerto USB para poder acceder sin tener que instalar el software, lo cual hace aun mas complejo la identificación de esta técnica.

Generalmente un usuario simple no hace esto, entonces la cantidad de "espacio disponible" guarda relación con el tiempo y tipo de uso. A partir de esto se podrá inferir o no el uso de esta técnica.

Lo mínimo útil sera sospechar del uso de estas herramientas cuando el espacio disponible sea muy notorio en discos de uso intenso.

EFECTO ANTIFORENSE

El uso de esta técnica y herramientas permitirá a un sospechosos en investigación, la posibilidad de eliminar rastros o evidencias.

Considerando el Itercriminis, estas herramientas podrían ser utilizadas antes de la comisión mismo de los hechos, para borrar los actos preparatorios, también podrían ser utilizados después del hecho, entonces afectaría el tiempo transcurrido entre el hecho y su detección con posterior fijamiento de las evidencias.

Entre los puntos periciales siempre se debe considerar la necesidad de recuperar datos borrados, y tambien se debe considerar esta posibilidad por defecto.