Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Investigación en línea
DOI: 10.4225/75/57ad39ee7ff25
5th Australian Digital Forensics Conference, Edith Cowan University, Perth Western Australia, 3 de diciembre Esta2007.
acta de la conferencia está publicada en Research Online.
https://ro.ecu.edu.au/adf/1
Anti-Forensics y el Investigador Digital
Gary C. Kessler
Champlain College
Burlington, VT, USA
gary.kessler@champlain.edu
Resumen
Visto de forma genérica, el antiforense (AF) es el conjunto de tácticas y medidas adoptadas por alguien que
quiere frustrar el proceso de investigación digital. Este documento describe algunas de las numerosas
herramientas y métodos de AF, bajo las amplias clasificaciones de ocultación de datos, borrado de artefactos,
ofuscación de rastros y ataques a las propias herramientas forenses. El concepto de AF no es nuevo ni está
destinado únicamente a ser utilizado por la clase criminal; también tiene un uso legítimo por parte de quienes
desean proteger su privacidad. Este documento también introduce el concepto de anticiencia sensible al tiempo,
señalando que los procedimientos de AF podrían emplearse con el único propósito de retrasar, en lugar de
impedir totalmente, el descubrimiento de información digital.
Palabras clave
Antiforense, ocultación de datos, borrado de artefactos, ofuscación de rastros, ataques a herramientas informáticas
forenses, privacidad
Limpieza de artefactos
Las herramientas de borrado de artefactos han estado disponibles durante muchos años. Los programas de
borrado, como BC Wipe, Eraser y PGP Wipe, destruyen los archivos de datos mediante múltiples sobreescrituras
que hacen que cualquier recuperación sea impracticable, si no imposible.
Existe un software de limpieza automática de artefactos que, aparentemente, permite al usuario recuperar espacio
de almacenamiento -y proteger su privacidad- eliminando los archivos temporales innecesarios que abarrotan el
disco duro. Pero programas como Evidence Eliminator, Secure Clean y Window Washer eliminan el historial del
navegador y los archivos de caché, borran ciertos archivos del sistema operativo y limpian el espacio libre y no
asignado. Muchos de estos programas vienen preconfigurados para eliminar los detritus de varios sistemas
operativos y utilidades comunes (por ejemplo, Windows, MS Office, Internet Explorer, AOL Instant Messenger
y Firefox), y tienen complementos adicionales para un gran número de otras aplicaciones comunes (por ejemplo,
Eudora, Picasa, RealAudio y WinZip). Hay muchas guías disponibles que abordan directamente qué archivos
deben limpiarse para dificultar el análisis o hacer que los análisis forenses sean en gran medida inútiles
(Caloyannides, 2001; Geiger y Cranor, 2006).
Por supuesto, las mejores herramientas no se limitan a eliminar los archivos ofensivos, que sería el enfoque
benigno, sino que los borran. Borrar los archivos innecesarios es suficiente para recuperar espacio en el disco;
borrar los archivos ciertamente sugiere que alguien está interesado en algo más que la simple recuperación de
espacio.
Las herramientas de borrado de artefactos dificultan el análisis a los forenses, pero lo cierto es que no son
perfectas. La mayoría de los programas dejan rastros identificables del borrado y muchos no son tan completos
como anuncian, dejando a menudo restos de las mismas cosas que se supone que deben borrar (Geiger y Cranor,
2006).
Criptografía
La criptografía, en cierto modo, es la herramienta antiforense definitiva. Y, por supuesto, no es nueva: las
herramientas criptográficas han dificultado, y seguirán haciéndolo, las investigaciones digitales. La criptografía
es quizás la herramienta antiforense más problemática porque es fácil de emplear para el usuario general y, una
vez activada, requiere un mantenimiento o atención mínimos por parte del usuario. Dicho esto, muchas
aplicaciones utilizan un cifrado débil que puede ser fácilmente derrotado (por ejemplo, Wired Equivalent
Privacy [WEP]) o los usuarios pueden no gestionar bien sus claves.
La criptoprotección tiene varias variantes. Muchas aplicaciones, como Adobe Acrobat, MS Office y WinZIP,
ofrecen mecanismos para que los usuarios puedan proteger con contraseña y/o cifrar archivos individuales.
Pretty Good Privacy (PGP) encripta los correos electrónicos desde principios de los años 90. Los sistemas de
archivos cifrados y el cifrado de todo el disco (por ejemplo, PGP Desktop, SafeBoot, Vista con BitLocker y
Windows EFS) seguirán frustrando -o, al menos, resistiendo- los exámenes forenses informáticos. La
comunicación cifrada basada en Internet (por ejemplo, Secure Sockets Layer, Transaction Layer Security, redes
privadas virtuales y redes inalámbricas seguras IEEE 802.11) puede hacer casi imposible el análisis del
contenido del tráfico de red (Casey, 2004).
El usuario
Es de suponer que existe un grupo de usuarios que emplean todas las herramientas del arsenal para dificultar los
exámenes informáticos. En general, existe una relación lineal entre la dificultad para utilizar una herramienta de
AF y lo mucho que el usuario tiene que ocultar. Tal y como es hoy en día,
No todos los usuarios van a instalar herramientas de AF
No todos los usuarios que instalan las herramientas de AF las utilizan de forma sistemática, por lo que
dejan información utilizable
No todos los usuarios que utilicen la herramienta de AF las usarán correctamente, lo que dejará
información utilizable
No todas las herramientas de AF funcionan tan perfectamente como se anuncia, por lo que dejan restos y
huellas
donde PAFt = el tiempo que el método antiforense puede proteger los datos contra el descubrimiento; It = el
tiempo para identificar los datos potencialmente útiles; AQt = el tiempo para adquirir los datos; Et = el tiempo
para examinar los datos; y ANt = el tiempo para analizar los datos.
En el modelo de seguridad, la detección y la respuesta a un ataque suelen estar automatizadas y requieren un
periodo de tiempo relativamente corto (es decir, segundos, minutos u horas). Por el contrario, la identificación, la
adquisición, el examen y el análisis de las pruebas digitales requieren inteligencia humana y, por lo general, un
periodo de tiempo relativamente largo (es decir, días o semanas) incluso en las mejores circunstancias. En
algunos casos, el uso de métodos de AF sólo añade un poco de tiempo a una demora que, de otro modo, sería
muy larga, pero en otros casos puede frustrar una investigación activa y sensible al tiempo.
Merece la pena considerar la idea de que alguna clase de usuarios quiere realmente que se realicen los exámenes
digitales, pero que se ralenticen, desperdiciando el tiempo, el dinero y los recursos de personal de la agencia de
investigación. Esta clase de usuarios no quiere impedir el examen, en sí mismo; si así fuera, podrían utilizar un
cifrado de disco completo de 256 bits y acabar con él. En cambio, quieren que los exámenes se realicen, pero
quieren que duren mucho tiempo. En cierto sentido, están tratando de confundir a su adversario inundándolo con
información pero manteniéndolo a distancia.
CONCLUSIÓN
Este documento ha intentado ampliar el alcance de los métodos y procesos que podrían describirse con justicia
como antiforenses. Se han identificado muchos procesos antiforenses, aunque no todos, y es necesario seguir
trabajando para clasificar estos métodos en función de su facilidad de uso (y, por tanto, de su probabilidad), su
eficacia, su grado de dificultad para detectarlos o superarlos, y otras características.
Cada intento de dificultar el proceso forense digital ha sido respondido con cambios en el proceso para hacer
frente a los nuevos desafíos. El cifrado enseñó a los investigadores a pensárselo dos veces antes de desconectar
un ordenador; la obtención de imágenes en vivo de los discos duros y de la memoria RAM se está convirtiendo
en algo mucho más común en este campo. La esteganografía enseñó a los investigadores a no tomarse todo al pie
de la letra. El malware enseñó a los investigadores que el escenario del examen informático podría ser hostil. El
software de AF que ataca nuestras herramientas puede o no dar lugar a mejores herramientas, pero sin duda nos
hará cambiar el proceso para depender menos de los exámenes totalmente automatizados; se necesitará más
inteligencia humana -y tiempo- para las investigaciones y esto también exigirá un conocimiento más detallado de
los sistemas de archivos.
Es importante señalar que aunque muchos de los métodos de AF pueden hacer que la información derivada de
una investigación sea inútil como prueba en un tribunal, no pueden disminuir el valor de inteligencia de la
información; la duda razonable
en la mente de un jurado no se traduce en información no procesable para un recopilador de inteligencia. Otros
métodos de AF, por supuesto, aseguran los datos del proceso de investigación digital, aunque no está claro dónde
se produce el cruce del valor de la información recuperada y el "coste" de los recursos gastados para recuperar
los datos.
Las herramientas y métodos antiforenses seguirán planteando dificultades y retos a las comunidades de
investigación digital y de e-discovery. Sin embargo, a medida que los desarrolladores de AF continúan
produciendo herramientas, corresponde a la academia y a la industria coordinar y financiar la investigación y el
desarrollo de anti-AF. Esta puede ser la próxima novedad en las investigaciones digitales.
AGRADECIMIENTOS
El autor cuenta con el apoyo parcial de la subvención nº 2006-DD-BX-0282 concedida por la Oficina de
Asistencia Judicial. La Oficina de Asistencia a la Justicia es un componente de la Oficina de Programas de
Justicia, que también incluye la Oficina de Estadísticas de Justicia, el Instituto Nacional de Justicia, la Oficina de
Justicia Juvenil y Prevención de la Delincuencia y la Oficina para las Víctimas del Crimen. Los puntos de vista u
opiniones que aparecen en este documento son los del autor y no representan la posición o política oficial del
Departamento de Justicia de los Estados Unidos.
SOBRE EL AUTOR
Gary C. Kessler, Ed.S., CCE, CISSP es director del Centro de Investigación Digital del Champlain College
(C3DI) y profesor asociado y director del programa de Informática y Ciencias Forenses Digitales del Champlain
College en Burlington, Vermont, y profesor asociado adjunto de la Universidad Edith Cowan en Mount Lawley,
Australia Occidental. Es miembro de la High Technology Crime Investigation Association (HTCIA) y de la
International Society of Forensic Computer Examiners (ISFCE). Kessler es también asesor técnico de los grupos
de trabajo sobre delitos contra la infancia en Internet de Vermont (ICAC) y sobre delitos en Internet, miembro
del consejo editorial del Journal of Digital Forensics, Security and Law (JDFSL), editor asociado del Journal of
Digital Forensic Practice (JDFP) y director de GKS Digital Services, LLC.
REFERENCIAS
Ahsan, K. (2002). Covert Channel Analysis and Data Hiding in TCP/IP. Tesis presentada al Departamento de
Postgrado de Ingeniería Eléctrica e Informática Edwards S. Rogers Sr., Universidad de Toronto,
Toronto, Ontario. Obtenido el 11 de septiembre, de 2007,http://gray-world.net/papers/ahsan02.pdf
Akin, T. (2003). WebMail Forensics. BlackHat Briefings. Extraído el 11 de septiembre de
2007, de http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-akin.pdf
Budimir, N., & Slay, J. (2007). Identificación de áreas de almacenamiento de datos no volátiles: Unique
Notebook Identification Information as Digital Evidence. Journal of Digital Forensics, Security and
Law,2 (1), 75-91.
Caloyannides, M.A. (2001). Computer Forensics and Privacy. Boston: Artech House.
Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Computers and the Internet (2ª ed.).
Londres: Elsevier Academic Press.
Electronic Frontier Foundation (EFF). (2007, 18 de septiembre). Página web de Tor. Recuperado el 18 de
septiembre de 2007, de http://tor.eff.org/index.html.en
Forte, D. (2002, agosto). Análisis de las dificultades de rastreo del tráfico del enrutador de la cebolla. Actas del
Taller de Investigación Forense Digital 2002. Extraído el 11 de septiembre de 2007, de
https://www.dfrws.org/2002/papers/Papers/Dario_Forte.pdf
Geiger, M., y Cranor, L.F. (2006, septiembre/octubre). Scrubbing Stubborn Data: An Evaluation of Counter-
Forensic Privacy Tools. IEEE Security & Privacy, 4(5), 16-25.
Software de orientación. (2007, 26 de julio). Respuesta de Guidance Software al informe de iSEC. Recuperado
el 11 de septiembre de 2007, de http://www.securityfocus.com/archive/1/474727
Harris, R. (2006). Llegando a un consenso antiforense: Examinar cómo definir y controlar el problema antiforense.
Actas del taller de investigación forense digital de 2006. Digital Investigation,3 (S), S44-S49. Obtenido el
11 de septiembre, de 2007,http://dfrws.org/2006/proceedings/6-Harris.pdf
Kessler, G.C. (2004, julio). An Overview of Steganography for the Computer Forensics Examiner. Forensics
Science Communication,6 (3). Extraído el 11 de septiembre de 2007, de http://www.fbi.gov/hq/lab/fsc
/revista/julio2004/investigación/2004_03_investigación01.htm
Levine, D.E., y Kessler, G.C. (2002). Denial of Service Attacks. En M. Kabay & S. Bosworth (Eds.), Computer
Security Handbook, 4th ed., Nueva York. Nueva York: John Wiley & Sons.
Liu, V., & Brown, F. (2006, 3 de abril). Bleeding-Edge Anti-Forensics. Presentación en InfoSec World 2006.
Recuperado el 11 de septiembre de 2007, de stachliu.com/files/InfoSecWorld_2006-K2-Bleeding_Edge_
AntiForensics.ppt
Metasploit LLC. (2007a). Página de inicio de Metasploit Anti-forensics. Recuperado el 11 de septiembre de
2007, de http://www.metasploit.com/projects/antiforensics/)
Metasploit LLC. (2007b). Página de inicio del proyecto Metasploit. Recuperado el 11 de
septiembre de 2007, de http://www.metasploit.com/
Palmer, C., Newsham, T., Stamos, A., & Ridder, C. (2007, 1 de agosto). Rompiendo el software forense:
Weaknesses in Critical Evidence Collection. Resumen de la presentación en Black Hat USA 2007.
Recuperado el 11 de septiembre de 2007, de http://www.blackhat.com/html/bh-usa-07/bh-usa-07-
speakers.html#Palmer
Palmer, G. (2001, 6 de noviembre). A Road Map for Digital Forensics Research. Digital Forensic
Research Workshop (DFRWS) Technical Report (DTR) T001-01 Final. Recuperado el 11 de
septiembre de 2007, de http://www.dfrws.org/2001/dfrws-rm-final.pdf
Rogers, M. (2006, 22 de marzo). Sesión de panel en el Simposio de Seguridad de la Información CERIAS 2006.
Recuperado el 11 de septiembre de 2007, de
http://www.cerias.purdue.edu/symposium/2006/materials/pdfs/antiforensics.pdf
Rowland, C.H. (1997, 5 de mayo). Canales encubiertos en el conjunto de protocolos TCP/IP. First Monday,2
(5). Recuperado el 11 de septiembre de 2007, de http://www.firstmonday.org/issues/issue2_5/rowland/
Schwartau, W. (1999). Time Based Security. Seminole, FL: Interpact Press.
StegoArchive.com. (2005). Sitio web de Stego Archive. Recuperado el 11 de septiembre de
2007, de http://www.stegoarchive.com
Tribunal Supremo de los Estados Unidos. (1993). Daubert v. Merrell Dow Pharmaceuticals (92-102), 509 U.S.
579.
Obtenido el 11 de septiembre de 2007, de http://supct.law.cornell.edu/supct/html/92-102.ZS.html
Van Buskirk, E., y Liu, V.T. (2006, marzo). Pruebas digitales: Challenging the Presumption of Reliability.
Journal of Digital Forensic Practice,1 (1), 19-26.
COPYRIGHT
Gary C. Kessler ©2007. El autor cede a SCISSEC & Edith Cowan University una licencia no exclusiva para
utilizar este documento para uso personal siempre que se utilice el artículo en su totalidad y se reproduzca esta
declaración de derechos de autor. Los autores también conceden una licencia no exclusiva a SCISSEC & ECU
para publicar este documento en su totalidad en las Actas de la Conferencia. Dichos documentos podrán
publicarse en la World Wide Web, en CD-ROM, en forma impresa y en sitios espejo de la World Wide Web.
Queda prohibido cualquier otro uso sin la autorización expresa de los autores.