jueves, 8 de octubre de 2009

ANALISIS FORENSE




Uno de los grandes problemas a los que nos enfrentamos a la hora de realizar el análisis forense, es la detección de aplicaciones antiforense que han podido ser utilizadas para ocultar o eliminar información que pudiera estar en un sistema. El gran inconveniente de detectar este tipo de herramientas en un equipo, es la inquietud de saber que este equipo, portaba información de interés pero que desgraciadamente no podremos tener acceso a ella.Para el que no conozca este tipo de herramientas, os comentaré que aunque siguiendo mecanismos diferentes, todas tienen persiguen un mismo objetivo, dificultar la trazabilidad en un escenario forense. Podemos diferenciarlas en los siguientes tipos:- Las enfocadas a la eliminación de la información.- Las enfocadas a la ofuscación de la información.- Las enfocadas a generar la incertidumbre en la investigación.
Todas por ellas mismas son ciertamente peculiares, tanto en su uso como en los fines que persiguen. El buen uso (o mal uso según la circunstancia) permiten que un potencial delito pudiera quedar impune. Desgraciadamente la falta de evidencias (objetivo que persiguen este tipo de aplicaciones), limita la posibilidad de enjuiciamiento. La “clara evidencia” del empleo de una herramienta de antiforense, no permite determinar a efectos jurídicos el posible hecho delictivo, debido a la ausencia “clara de evidencias”, a lo sumo la existencia de conjeturas. No obstante y afortunadamente no siempre el empleo de estas herramientas es definitivo, puesto que aunque se elimina información relevante, no se hace realmente extensivo a los ficheros de carácter temporal que pudiera estar siendo utilizado por el Sistema Operativo y que puede quedar revelado en un análisis forense.
En análisis forense realizados con la herramienta FTK Access data en un entorno de laboratorio, emulando las posibles acciones en un potencial delito, revelaba el uso de la herramienta Evidence Eliminator, mediante el empleo de las firmas KFF. Esta aplicación está basada en un interface cómodo, que permite realizar varias pasadas de 1 y/o 0 (Wipe) para sobreescribir determinada información que pudiera ser comprometida. Puesto que el tiempo que se tarda en realizar estas operaciones puede ser mpli, se pueden limitar las opciones de eliminación. En esta circunstancias en el análisis en el fichero de paginación, se reveló (puesto que no fué eliminado debido al tiempo que tardaba en realizarse la operción) las acciones realizadas en el equipo y la recuperación de información que pudiera ser transcendental al caso.
La existencia o la detección del uso de herramientas antiforense, debieran incitar a una investigación, con más ahinco si cabe, puesto que denota a través de su uso la posible importancia de las evidencias. El problema al que se enfrenta el investigador, es la desventaja moral con la que parte al saber que en un porcentaje muy alto de las circunstancias, sus esfuerzos no obtendrán ningún fruto.
Dentro de los tipos de herramientas que se han comentado previamente, podríamos citar algunas que identifican claramente el objetivo a perseguir.
- Eliminación de evidencias. Además de la citada evidence eliminator, podríamos incluir en este grupo la suite DBan. Esta herramienta en sí, es un disco de arranque que permite la eliminación segura de un disco. Además del posible uso delictivo que se pueda dar, puede ser también utilizado como mecanismo de destrucción documental o eliminación segura de información crítica. Por ejemplo cuando un equipo de una organización vaya a ser desechado (el formateo del disco, únicamente no es una buena práctica).
- Dentro de los sistemas de ofuscación, herramientas de cifrado como Truecrypt o el empleo de técnicas de esteganografía o malware, permiten que alguien conocedor del hecho pueda acceder a la información dificultando no obstante una posible investigación.
- Las enfocadas a generar la incertidumbre, no tienen como objetivo la eliminación u ocultación de la información. Simplemente confundir con la información existente. Tenemos un ejemplo con el uso de la herramienta TimeStomp. Petenenciente al grupo de herramientas MAFIA (Metasploit Anti-Forensic Investigation Arsenal ) del proyecto Metasploit, persigue alterar la información de tiempos de ficheros. Permite poner fechas inverosímiles, complicando el análisis al conseguir la ruptura de la linea temporal de la investigación.
Este tipo de herramientas pueden complicar la vida en una investigación enormente. Uno no sabe si es mejor detectar su empleo en un equipo analizado o no. Porque a veces saber que se han empleado, dejan con la miel en lo labios y una rabia contenida de no saber, que se ha podido hacer con ellas.
Fuente: Legalidad Informática
www.segu-info.com.ar
Categorías: análisis forense · herramientas
Técnicas antiforense
Agosto 7, 2009 · Dejar un comentario
Uno de los grandes problemas a los que nos enfrentamos a la hora de realizar el análisis forense, es la detección de aplicaciones antiforense que han podido ser utilizadas para ocultar o eliminar información que pudiera estar en un sistema. El gran inconveniente de detectar este tipo de herramientas en un equipo, es la inquietud de saber que este equipo, portaba información de interés pero que desgraciadamente no podremos tener acceso a ella.Para el que no conozca este tipo de herramientas, os comentaré que aunque siguiendo mecanismos diferentes, todas tienen persiguen un mismo objetivo, dificultar la trazabilidad en un escenario forense. Podemos diferenciarlas en los siguientes tipos:- Las enfocadas a la eliminación de la información.- Las enfocadas a la ofuscación de la información.- Las enfocadas a generar la incertidumbre en la investigación.
Todas por ellas mismas son ciertamente peculiares, tanto en su uso como en los fines que persiguen. El buen uso (o mal uso según la circunstancia) permiten que un potencial delito pudiera quedar impune. Desgraciadamente la falta de evidencias (objetivo que persiguen este tipo de aplicaciones), limita la posibilidad de enjuiciamiento. La “clara evidencia” del empleo de una herramienta de antiforense, no permite determinar a efectos jurídicos el posible hecho delictivo, debido a la ausencia “clara de evidencias”, a lo sumo la existencia de conjeturas. No obstante y afortunadamente no siempre el empleo de estas herramientas es definitivo, puesto que aunque se elimina información relevante, no se hace realmente extensivo a los ficheros de carácter temporal que pudiera estar siendo utilizado por el Sistema Operativo y que puede quedar revelado en un análisis forense.
En análisis forense realizados con la herramienta FTK Access data en un entorno de laboratorio, emulando las posibles acciones en un potencial delito, revelaba el uso de la herramienta Evidence Eliminator, mediante el empleo de las firmas KFF. Esta aplicación está basada en un interface cómodo, que permite realizar varias pasadas de 1 y/o 0 (Wipe) para sobreescribir determinada información que pudiera ser comprometida. Puesto que el tiempo que se tarda en realizar estas operaciones puede ser mpli, se pueden limitar las opciones de eliminación. En esta circunstancias en el análisis en el fichero de paginación, se reveló (puesto que no fué eliminado debido al tiempo que tardaba en realizarse la operción) las acciones realizadas en el equipo y la recuperación de información que pudiera ser transcendental al caso.
La existencia o la detección del uso de herramientas antiforense, debieran incitar a una investigación, con más ahinco si cabe, puesto que denota a través de su uso la posible importancia de las evidencias. El problema al que se enfrenta el investigador, es la desventaja moral con la que parte al saber que en un porcentaje muy alto de las circunstancias, sus esfuerzos no obtendrán ningún fruto.
Dentro de los tipos de herramientas que se han comentado previamente, podríamos citar algunas que identifican claramente el objetivo a perseguir.
- Eliminación de evidencias. Además de la citada evidence eliminator, podríamos incluir en este grupo la suite DBan. Esta herramienta en sí, es un disco de arranque que permite la eliminación segura de un disco. Además del posible uso delictivo que se pueda dar, puede ser también utilizado como mecanismo de destrucción documental o eliminación segura de información crítica. Por ejemplo cuando un equipo de una organización vaya a ser desechado (el formateo del disco, únicamente no es una buena práctica).
- Dentro de los sistemas de ofuscación, herramientas de cifrado como Truecrypt o el empleo de técnicas de esteganografía o malware, permiten que alguien conocedor del hecho pueda acceder a la información dificultando no obstante una posible investigación.
- Las enfocadas a generar la incertidumbre, no tienen como objetivo la eliminación u ocultación de la información. Simplemente confundir con la información existente. Tenemos un ejemplo con el uso de la herramienta TimeStomp. Petenenciente al grupo de herramientas MAFIA (Metasploit Anti-Forensic Investigation Arsenal ) del proyecto Metasploit, persigue alterar la información de tiempos de ficheros. Permite poner fechas inverosímiles, complicando el análisis al conseguir la ruptura de la linea temporal de la investigación.
Este tipo de herramientas pueden complicar la vida en una investigación enormente. Uno no sabe si es mejor detectar su empleo en un equipo analizado o no. Porque a veces saber que se han empleado, dejan con la miel en lo labios y una rabia contenida de no saber, que se ha podido hacer con ellas.

martes, 15 de septiembre de 2009

AMENAZAS DELIBERADAS A LA SEGURIDAD INFORMATICA




Se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de ser contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los servicios y mecanismos de seguridad necesarios.


Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un flujo de información desde una fuente, como por ejemplo un fichero o una región de la memoria principal, a un destino, como por ejemplo otro fichero o un usuario. Un ataque no es más que la realización de una amenaza.Las cuatro categorías generales de amenazas o ataques son las siguientesInterrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de ficheros.Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una línea para hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas (intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red.Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo.Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos.Ataques pasivosEn los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la comunicación, que puede consistir en:Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados.Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividad inusuales.Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad.Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros mecanismos que se verán más adelante.ATAQUES PASIVOSEn los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la comunicación, que puede consistir en:Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados.Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividad inusuales.Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad.Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros mecanismos que se verán más adelante.Ataques activosEstos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta.Reactuación: uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje “Ingresa un millón de pesetas en la cuenta A” podría ser modificado para decir “Ingresa un millón de pesetas en la cuenta B”.Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.