Mediante las técnicas anti-forenses se intenta comprometer la disponibilidad de evidencia para proceso forense.
Un intento exitoso efectuado por un individuo o proceso resulta en un impacto negativo con respecto a la identificación, disponibilidad, confiabilidad y relevancia de evidencia digital en proceso forense.
Proporciona ventajas al atacante sobre investigadores, debido a que al hacerse efectivas sobre la evidencia, se puede comprometer la confianza y claridad de la misma en el proceso.
Se sugiere observar con mayor detalle las evidencias digitales encontradas, para replantear protocolos de investigaciones pasados y futuros.
Clasificación de Herramientas Anti-Forense
Destrucción de evidencia: Evita que la evidencia encontrada por investigadores, sin embargo, en caso de que dicha situación se presenta se busca disminuir el uso que se le pueda dar. No busca que la evidencia sea inaccesible sino irrecuperable.
En resumidas cuentas, su objetivo es el de destruir, desmantelar o modificar todas las pruebas útiles para la investigación.
Se aplica en dos niveles:
Físico: Campos magnéticos u otros medios no convencionales.
Lógico: Reinicializar el medio, cambiar composición de datos, sobrescribir los datos o eliminar referencia a los datos.
Ocultación de evidencia: Hace inaccesible la evidencia para el investigador, no manipula, destruye o modifica la evidencia sino que la hace menos visible.
Al no modificar la evidencia, puede implicar que al ser encontrada sea válida en el proceso formal y que por lo tanto, sirva para incriminar e identificar al autor del ataque.
Se vale de limitaciones del software forense y el investigador atacando puntos ciegos o no usuales en búsqueda de alguna anomalía.
La estrategia más efectiva es el uso de la Esteganografía como disciplina auxiliar para ocultación de mensajes en objetos portadores, para no percibir su existencia.
Eliminación de fuentes: Neutraliza fuente de evidencia, no es necesario destruir pruebas debido a que no han sido creadas. Como ejemplo se podría realizar la desactivación de logs de auditoria del sistema que se está atacando.
Falsificación: Engañar y crear falsas pruebas para investigadores logrando cubrir verdadero autor, incriminando a otros y desviar investigación con lo cual sería imposible de resolver en una dirección correcta.
Edición selectiva de pruebas creando evidencias incorrecta y falsas que corrompen y dañan validez de dichas pruebas por lo cual no podrán ser usadas como evidencias.
Referencias
http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSI-Dia3-Sesion6(3).pdf
0 comentarios:
Publicar un comentario