PROPUESTA PARA TRABAJO DE GRADO

Transcripción

1 TÍTULO PROPUESTA PARA TRABAJO DE GRADO Guía metodología para identificar y validar la aplicación de técnicas anti-forenses en equipos con sistema operativo Windows XP Service Pack 3. MODALIDAD Proyecto de investigación formativa OBJETIVO GENERAL Desarrollar una guía metodología para identificar y evidenciar la aplicación de técnicas anti-forenses en el análisis de información en un computador con sistema de archivos NTFS bajo el sistema operativo Windows XP SP3. ESTUDIANTE(S) Armando Botero Vila Documento Celular Teléfono fijo Correo Javeriano cc armando.botero@javeriana.edu.co Iván Felipe Camero Padilla Documento Celular Teléfono fijo Correo Javeriano cc icamero@javeriana.edu.co DIRECTOR Ing. Jeimy Cano Martinez Documento Celular Teléfono cc ASESORES fijo ext 5338 Correo Javeriano; Correo 2 jjcano@yahoo.com j.cano@javeriana.edu.co Empresa donde trabaja y cargo Coordinador de Seguridad de la Información ECOPETROL S.A Ing. Documento Celular Teléfono fijo Correo Javeriano; Correo2 Empresa donde trabaja y cargo cc xxxxxx ext 5338 gchavarr@javeriana.edu.co; gchavarr@alternativo.com Pontificia Universidad Javeriana; Profesor de Tiempo Completo Departamento de Sistemas Propuesta Página 1

2 VoBo. Coordinador de Trabajos de Grado: Código: TG xxx Contenido 1 OPORTUNIDAD O PROBLEMÁTICA DESCRIPCIÓN DEL CONTEXTO FORMULACIÓN DESCRIPCIÓN DEL PROYECTO OBJETIVO GENERAL OBJETIVOS ESPECÍFICOS MARCO TEÓRICO / ESTADO DEL ARTE FUNDAMENTOS Criminalística Informática Forense Definición de Técnicas Anti-forenses Clasificación de Métodos Anti-forenses Modelo Conceptual de Detección y Rastreo de Técnicas Anti-Forenses (MoDeRaTa) Fundamentos del NTFS PROCESO METODOLOGÍA... ERROR! MARCADOR NO DEFINIDO. 4.2 ACTIVIDADES ENTREGABLES O RESULTADOS ESPERADOS PRESUPUESTO CRONOGRAMA REFERENCIAS Y BIBLIOGRAFÍA REFERENCIAS BIBLIOGRAFÍA PROPUESTA PARA EL DESARROLLO DEL TRABAJO DE GRADO ANEXOS Propuesta Página 2

3 1.1 Descripción del contexto 1 Oportunidad o Problemática En la actualidad, se cuenta con una tecnología de la información avanzada y con un nivel de maduración cada vez mayor, introducida a fondo en la vida de las organizaciones y personas, lo que ha generado que la información se haya convertido en un bien de vital importancia, el cual debe ser protegido de amenazas que pueden dañar, robar, modificar, y aprovecharse de este para múltiples acciones mal intencionadas o ilícitas. La constante evolución de los sistemas computacionales ha traído consigo un incremento en las vulnerabilidades, las cuales son aprovechadas al máximo por los atacantes o intrusos. Una muestra de las distintas formas de explotar estas vulnerabilidades se puede encontrar en la siguiente figura, que evidencia cómo los atacantes desarrollan y refinan cada vez más sus técnicas, para sacar provecho de los problemas inherentes de las nuevas tecnologías [1]. Figura 1 Clasificación ataques [1] Propuesta Página 3

4 Cómo muestra la figura, a medida que los conocimientos de los atacantes aumentan, se extiende proporcionalmente el nivel de sofisticación de los ataques. Esto revela que las organizaciones y los directores de los departamentos de seguridad, hoy en día no se están enfrentado a personas inexpertas e ingenuas que solo quieren jugar; se están enfrentando a mentes inquietas que siempre van más allá de lo que cualquier manual de computación les pueda aportar, de igual forma, estas personas tienen algo que la industria de seguridad informática no tiene: suficiente tiempo y esfuerzo para encontrar alternativas creativas para vulnerar los sistemas [2]. De acuerdo al escenario anterior, donde las mentes inquietas poseen distintas motivaciones y teniendo en cuenta que la información es un bien sumamente importante en las organizaciones, cualquier ataque a este podría ser considerado un delito ante las autoridades. Así que para poder judicializar y presentar los distintos casos a las autoridades judiciales, surge de la criminalística una nueva disciplina que utiliza un conjunto de herramientas, estrategias y acciones para descubrir en medios informáticos, la evidencia digital que respalde y compruebe cualquier acusación frente a la investigación de un delito informático [2]. Esta disciplina se conoce como Informática Forense, la cual según el FBI se define como la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional [3]. Donde los principales objetivos de esta son [4]: 1. La compensación de los daños causados por los criminales o intrusos. 2. La persecución y procesamiento judicial de los criminales. 3. La creación y aplicación de medidas para prevenir casos similares. Detallando el segundo objetivo de la informática forense, La persecución y procesamiento judicial de los criminales, esté tiene cómo eje central la evidencia digital, para la investigación y una eventual judicialización de los implicados en el caso de estudio. Propuesta Página 4

5 En este sentido la evidencia digital se define como cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como elemento material probatorio en un proceso legal [2]. De esta manera, la evidencia digital puede ser dividida en tres categorías las cuales son [5]: a) Registros almacenados en el equipo de tecnología informática; por ejemplo correo electrónicos, archivos de aplicaciones de ofimática, imágenes, etc. b) Registros generados por los equipos de tecnología informática; por ejemplo registros de auditoría, registros de transacciones, registros de eventos, etc. c) Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática; por ejemplo hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc. Además de la anterior clasificación, la evidencia digital posee unas características especiales que adicionalmente de diferenciarla de la evidencia física, la convierten en un constante reto para los investigadores de informática forense. Estas características son las siguientes [2]: Es volátil Es anónima Es duplicable Es alterable y modificable Es eliminable Si partimos del hecho que los intrusos basan sus ataques en conocimientos avanzados en informática forense, en las propiedades de la evidencia digital y apoyándose de la frase planteada por Simple Nomad 2006 Si controlamos los bits y bytes, y además conocemos como funcionan las herramientas Forenses, podemos controlar la dirección de la investigación forense, podríamos decir que la unión de estas tres últimas premisas, definen a grandes rasgos las técnicas anti-forenses. Propuesta Página 5

6 1.2 Formulación Actualmente, la informática forense cuenta con protocolos que formalmente describen cómo se debe llevar a cabo una investigación, con el único fin de entregar resultados concretos que muestren el quién, cómo, dónde, cuándo, para qué, con qué y por qué de un hecho. Estos protocolos son definidos por las unidades especializadas en delitos informáticos de cada país, basándose en modelos y buenas prácticas, entre otras las que el IOCE propone [6] o las que el departamento de justicia de los Estados Unidos plantea en su Guide for First Responders [7]. Sin embargo, en estos protocolos, no se contempla la aplicación de alguna técnica anti-forense que se definen como cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense [2], en la ejecución del ataque. La mayoría de los ataques estudiados por la informática forense se observan a nivel de empresas, en donde en gran parte de ellas se utiliza el sistema operativo Windows XP que hoy por hoy es la versión más estable y segura de Windows [8]. Aunque por otro lado, el auge de Windows XP trajo consigo un amplio estudio de la plataforma; estudio que concluyó en aspectos positivos para Microsoft y negativos para sus usuarios. Los negativos, al permitirle a atacantes evaluar cuáles son sus vulnerabilidades y atacarlo por ahí, y las positivas al permitirle a Microsoft realizar procesos de reingeniería a su sistema operativo al analizar las deficiencias encontradas por los atacantes, esto llevó al lanzamiento de diferentes service packs en los cuales se iba mejorando la estabilidad y seguridad del sistema operativo, de esta manera se llegó hasta la tercera versión de estos, siendo ésta la más refinada de todas. Durante éste proceso se encontraron varias falencias en la seguridad de Windows XP que terminaron por convertirse en oportunidades de ataques para los criminales digitales. Al adquirir conocimientos sobre las vulnerabilidades de Windows, un criminal puede aplicar diferentes métodos y técnicas para mimetizar, manipular, deshabilitar o destruir [9] evidencia digital con el objetivo de agravar o desviar una investigación. Es por esto que existe la necesidad de incorporar a los manuales que guían las investigaciones de informática forense, un protocolo que identifique la aplicación de técnicas anti-forenses en un crimen digital. Propuesta Página 6

7 Es por lo anterior esta investigación busca dar una respuesta al siguiente interrogante: Cómo identificar y validar la presencia de una técnica anti-forense en el análisis de información en un computador que contenga un sistema de archivos NTFS bajo el sistema operativo Windows XP SP3 encontrado en una escena del crimen? Propuesta Página 7

8 2.1 Objetivo general 2 Descripción del Proyecto Desarrollar una guía metodología para identificar y evidenciar la aplicación de técnicas antiforenses en el análisis de información en un computador que contenga un sistema de archivos NTFS bajo el sistema operativo Windows XP SP3 encontrado en una escena del crimen. 2.2 Objetivos específicos 1. Estudiar y analizar el estado del arte de la criminalística, la criminalística en medios informáticos y las técnicas anti-forenses existentes, enfocando estas últimas al sistema operativo Windows XP SP3 y en el funcionamiento del sistema de archivos NTFS. 2. Realizar el diseño de la guía metodológica enfocada a la identificación y validación del uso de técnicas anti-forenses en el análisis de la información en computadores con sistemas de archivos NTFS bajo un sistema operativo Windows XP SP3 encontrado en una escena de crimen. 3. Probar y ajustar el diseño de la guía metodológica basándose en los niveles del Modelo conceptual de Detección y Rastreo de Técnicas Anti-forenses (MoDeRaTA) en un sistema de archivos NFTS en un sistema operativo Windows XP SP3. Propuesta Página 8

9 3 Marco Teórico / Estado del Arte 3.1 Fundamentos Criminalística La criminalística se puede definir como una ciencia que estudia los indicios dejados en el lugar del delito, con el propósito de descubrir la identidad del criminal y las circunstancias que ocurrieron en el hecho [10]. Esta se compone de diferentes disciplinas científicas que juntas cumplen el único propósito de hacer la transición entre una posible prueba o autor criminal, a una evidencia concreta o un sospechoso. De este modo, la criminalística se vale de procedimientos y protocolos para realizar las distintas investigaciones, los cuales en términos generales se dividen en dos partes: Primero, se recolecta la evidencia digital donde se realiza el aseguramiento de la escena del crimen, para estudiar cuales son los elementos que pueden llegar a convertirse en pruebas o indicios de un hecho. Segundo, se hace el debido análisis de las evidencias recolectadas y se presentan las pruebas y conclusiones de la investigación a los encargados de dar las sentencias sobre el caso de estudio. El lugar de los hechos es considerado dentro de la criminalística como la principal fuente generadora de evidencias. Por esta razón es importante el cuidado y el profesionalismo que debe tener un perito investigador con la escena del crimen y aun más, con el seguimiento de los protocolos establecidos por la ley para el aseguramiento de dicha escena. Existen 5 características generales que deben ser tenidas en cuenta por los peritos investigadores en una escena del crimen, que son las siguientes [10]: 1) El hecho es considerado no reciente y, por lo tanto, es necesario llegar lo más pronto posible a el lugar donde acontecieron los hechos para evitar pérdidas o alteraciones de la evidencia física. 2) Elaborar los croquis y tomar fotografías de la escena del crimen para garantizar el mantenimiento de cómo se encontraba la escena cuando ocurrieron los hechos a lo largo de toda la investigación. 3) Evitar posibles contaminaciones y pérdidas, después de una rigurosa inspección judicial. 4) Tener cuidado con la fragilidad de la evidencias físicas encontradas en la escena del crimen para no perderlas o alterarlas por mal manejo de los investigadores. Propuesta Página 9

10 5) El valor de la prueba indiciaria es relativo cuando hay un manejo inadecuado de los elementos encontrados en el lugar de los hechos. Los lugares de los hechos se pueden clasificar según el ambiente en que se encuentran ubicados, por esta razón se generan distintos tipos de escenas del crimen, que son las siguientes: [10] Abiertos: Los cuales se caracterizan por no tener límites precisos y, por lo general, pueden consistir en un parque, la vía pública, un potrero, la playa, el campo, etc. Cerrados: Se diferencian de los abiertos porque están circunscritos por límites precisos como el interior de una oficina, edificio, un hotel, un supermercado, etc. Semi-abiertos o mixtos: Como su nombre lo indica, son aquellos lugares que tienes características propias de los lugares abiertos y a la vez cerrados, como un parque de diversiones, una residencia, un club, etc. En Colombia existe un procedimiento y un protocolo que se debe seguir para asegurar una escena del crimen, esta se describe en el Manual de procedimientos del sistema de cadena de custodia proporcionado por la fiscalía general de nación, donde en primera instancia define el aseguramiento de la escena como : Actividad que se adelanta para garantizar el aseguramiento o protección del lugar de los hechos con ocasión de una posible conducta punible, a fin de evitar la pérdida o alteración de los elementos materia de prueba o evidencia física. [11]; lo cual se consigue con la aplicación del siguiente procedimiento: [11] 1. Realizar una observación preliminar del lugar de los hechos y los EMP (Elementos Materiales Probatorios) o la Evidencia Física, especialmente aquellos que se encuentran a mayor distancia del cuerpo de occiso cuando se trate de inspección a cadáver. El responsable de estos es Policía de Vigilancia y/o Policía Judicial. 2. Determina el área a ser aislada y acordona utilizando doble barrera física (cuerdas, cintas, barricadas, policías adicionales, vehículos, voluntarios, entre otros) la cual permite a los funcionarios adelantar la diligencia ubicándose dentro del perímetro del primer y segundo acordonamiento, dejando el primer acordonamiento para aislar el lugar de los hechos. El responsable de estos es Policía de Vigilancia y/o Policía Judicial. 3. Realiza el acordonamiento teniendo en cuenta las características del lugar de los hechos. Si el lugar es abierto se toma como referencia el cuerpo de la victima si se trata de una inspección a cadáver y acordona hasta el EMP o EF más alejado de éste. De igual manera procede en otro tipo de conducta, teniéndose en cuenta el área focal más afectada. Si el lugar es cerrado, se realiza el acordonamiento desde el punto de acceso al inmueble o inmuebles involucrados en el hecho (puede llegar hasta varias cuadras alrededor del mismo). Es indispensable tener en cuenta las puertas, ventanas y vías probables de escape. El responsable de estos es Policía de Vigilancia y/o Policía Judicial. Propuesta Página 10

11 4. Reporta a la central de comunicaciones las actividades realizadas. El responsable de estos es Policía de Vigilancia y/o Policía Judicial. 5. Cuando se encuentren personas lesionadas en el lugar de los hechos establece comunicación con ellas a fin de identificarlas y obtener información acerca de lo ocurrido y que sea de interés para la investigación. Previo al desplazamiento o movimiento de los lesionados, se procede a marcar la ubicación y posición original de la persona. Si se trata de una persona fallecida, se evita su manipulación, la de sus documentos y pertenencias; si en el lugar se encuentran testigos o familiares, se individualizan a través de la información que ellos aporten. El responsable de estos es Policía de Vigilancia y/o Policía Judicial. 6. Si se encuentran testigos, sospechosos o familiares del occiso o del hecho, se evita que estos se retiren, se procede a separarlos y a aislarlos, impidiendo la comunicación entre ellos. Adicionalmente, se toman los datos generales de identificación (nombre, cédula de ciudadanía, parentesco con la víctima, lugar de residencia, entre otros datos). Esta información se consigna en el formato de actuación del primer respondiente. El responsable de estos es Policía de Vigilancia y/o Policía Judicial. 7. Si en el lugar de los hechos se encuentra el presunto agresor y es ubicado, se efectúa la requisa de acuerdo al procedimiento establecido para esta actividad y se separa de los posibles cómplices. En caso de que el agresor porte un arma, se incauta teniendo en cuenta lo siguiente: Realizar solo la manipulación estrictamente necesaria, utilizando guantes desechables de látex. Si el arma tiene residuos de fluidos biológicos se coloca preferiblemente en bolsa de papel que no esté pre impreso. El arma embalada, rotulada y con registro de cadena de custodia, se coloca a disposición de la autoridad judicial junto con la información obtenida. (si se trata de policía de vigilancia deja constancia en el formato de actuación del primer respondiente). El responsable de estos es Policía de Vigilancia y/o Policía Judicial. 8. Registra la información obtenida en sus actividades durante la atención al hecho en el formato de actuación del primer respondiente. En caso de observarse que el cuerpo ha sido manipulado o movido del lugar, se deja constancia en el anterior formato. Entrega el lugar de los hechos a la autoridad competente o al servidor encargado de la diligencia, aportando el formato de actuación del primer respondiente. El responsable de estos es Policía de Vigilancia y/o Policía Judicial. Propuesta Página 11

12 En este mismo documento se definen un par de diagramas de flujo que describen de una manera más fácil el aseguramiento de la escena del crimen. Dichos diagramas se describen en las siguientes figuras: Figura 2 Diagrama de Flujo Aseguramiento del Lugar de los Hechos [11] Figura 3 Diagrama de Flujo Aseguramiento del Lugar de los Hechos [11] Propuesta Página 12

13 Es necesario tener, mantener y asegurar cuidadosamente la escena del crimen para evitar perder, omitir o modificar cualquier Elemento Material Probatorio (EMP), que en los momentos de un juicio son las llaves principales para el esclarecimiento de los hechos. Los EMP forman parte de la escena del crimen; estos son elementos u objetos (sólidos, líquidos o gases) [10], y que según la definición del Manual de procedimientos del sistema de cadena de custodia se define como: Los elementos físicos que se recaudan por un investigador como consecuencia de un acto delictivo, los cuales pueden servir en la etapa del juicio para demostrar que la teoría del caso que se expone ante el juez es cierta y verificable. Asimismo, son elementos relacionados con una conducta punible que sirven para determinar la verdad en una actuación penal. Estos elementos se pueden clasificar en: [10] - Según su naturaleza, pueden ser orgánicos e inorgánicos. - Según su tamaño, pueden ser macroscópicos y microscópicos o elementos traza. - Si han sido dejados en el lugar de los hechos primarios, pueden ser positivos o negativos. - Si pueden ser transportados al laboratorio, pueden ser concretos y/o descriptivos. - Según su capacidad individualizadora, pueden tener características individuales y de clases. Según sus características específicas, pueden ser fijos y móviles Informática Forense La informática forense es una disciplina que surge como rama de la criminalística, con el fin de proporcionar una respuesta al constante surgimiento de vulnerabilidades en sistemas informáticos, en el aprovechamiento de fallas bien sea humanas, procedimentales o tecnológicas sobre infraestructuras de computación, la cual proporciona un escenario ventajoso y productivo para la generación de tendencias relacionadas acciones mal intencionadas o ilícitas [12]. Esta disciplina se basa fundamentalmente en los principios generales de cualquier investigación forense en criminalística, los cuales son [13]: Considerar el sistema completo. Registrar la información a pesar de las fallas o ataques que se generen. Considerar los efectos de los eventos, no sólo las acciones que la causaron. Considerar el contexto, para asistir en la interpretación y entendimiento de los eventos. Presentar los eventos de manera que pueden ser analizados y entendidos por un analista forense. Propuesta Página 13

14 Partiendo de dichos principios, la informática forense establece un nuevo conjunto de herramientas, estrategias y acciones en medios informáticos, logrando así recolectar la suficiente evidencia digital que sustente y verifique todas las afirmaciones realizadas sobre el caso bajo estudio [2]. El FBI proporciona una definición más detallada como se menciona en la sección 1.1 de este documento. Viendo la informática forense desde un punto de vista más operativo y técnico se puede definir como el uso de herramientas software y protocolos para buscar eficientemente los contenidos de almacenamientos magnéticos y otros dispositivos e identificar evidencia relevante en archivos, fragmentos de éstos o documentos borrados, que permitan elaborar hipótesis coherentes y validas relacionadas con el caso de estudio [13]. Partiendo de del segundo objetivo de la informática forense, el cual es la persecución y procesamiento judicial de los criminales, hace imperante que esta disciplina cuente con un riguroso protocolo de investigación que sustente cualquier afirmación relacionada con el caso de estudio, por lo cual se genera inicialmente los siguientes requerimientos para ejecutar una investigación [13]: Se deben utilizar medios forenses estériles. Mantener la integridad del medio original. Cadena de custodia: Etiquetar, controlar y transmitir adecuadamente las copias de datos, impresiones y resultados de la investigación. Presentación y sustentación de los resultados. Validación y verificación de los procedimientos aplicados. El tener una lista de requerimientos tan exigente y de alta prioridad, obliga que la informática forense se valga de un procedimiento muy bien definido, donde indique que hacer, en qué momento y quiénes son sus responsables, para que así, se pueda llegar a conclusiones y aseveraciones lo suficientemente argumentativas y comprobables. Por esta razón surgen distintos protocolos y buenas prácticas para la realización de investigaciones forense entre otras, la el IOCE propone [6] o las que el departamento de justicia de los Estados Unidos plantea en su Guide for First Responders [7]. Estas buenas prácticas y protocolos se basan fundamentalmente en la anatomía de una investigación forense, la cual se observa en la figura 2, donde se describe el flujo y procedimientos generales que abarcan una investigación. Propuesta Página 14

15 Figura 4 Anatomía de una Investigación Forense (traducción) [14] Como se puede observar la principal protagonista en el proceso de una investigación forense es la evidencia digital, que conforma la más importante entrada para el flujo de dicho proceso y la que asegura la sustentación de afirmaciones y conclusiones al momento de presentar resultados a las entidades judiciales, encargadas de dar veredictos sobre los casos de estudio. Por esta razón se hace necesario que los investigadores de informática forense conozcan a profundidad las características de la evidencia digital, así como cuales son las distintas formas de generación de esta y los posibles lugares donde se puede encontrar. Propuesta Página 15

16 3.1.3 Definición de Técnicas Anti-forenses Las herramientas o técnicas anti forenses se definen según (Harris, 2006) como cualquier intento de comprometer la disponibilidad de la evidencia para un proceso forense. [9] Del mismo modo si se profundiza un poco más en éste concepto y se desarrolla en términos más técnicos se genera la siguiente definición: Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense [1] Estas técnicas proporcionan a los atacantes una ventaja inusual sobre los investigadores en cómputo forense, ya que al hacerse efectivas sobre la evidencia digital, pueden comprometer fácilmente la confianza y claridad de la misma en un proceso. Así mismo, sugiere a los investigadores observar con un mayor detalle las evidencias digitales encontradas en una escena del crimen, lo que exige replantear los protocolos para investigaciones pasadas y futuras Clasificación de Métodos Anti-forenses A medida que se explora y se investiga más sobre las técnicas anti-forenses se han generado varias clasificaciones y del mismo modo se han definido varios métodos. Para efectos de este trabajo se tomará la clasificación planteada por (Harris 2006) a saber [9]: Destrucción de la evidencia. Ocultar la evidencia. Eliminación de las fuentes de la evidencia. Falsificación de la evidencia. La sofisticación y complejidad de cada uno de estos métodos demuestra que los personajes interesados en su creación y ejecución -llamados normalmente intrusos- realizan muchas más cosas y acciones que lo que indican los manuales de los proveedores de software o hardware. [2] A continuación se establece una aproximación a cada método propuesto por Harris de las herramientas anti-forenses: Propuesta Página 16

17 Destrucción de la evidencia: El principal objetivo de esta técnica es evitar que la evidencia sea encontrada por los investigadores y en caso de que estos la encuentren, disminuir sustancialmente el uso que se le puede dar a dicha evidencia en la investigación formal. Este método no busca que la evidencia sea inaccesible si no que sea irrecuperable. [15] Esto implica que se deben destruir, desmantelar o en su defecto modificar todas las pruebas útiles para una investigación [9]. Así como en la vida real cuando ocurre un crimen y el criminal quiere destruir todo rastro o evidencia se vale de una serie de herramientas que le facilitan este objetivo. Existen dos niveles de destrucción de la evidencia [15]: Nivel Físico: A través de campos magnéticos. Nivel Lógico: Busca reinicializar el medio, cambiar la composición de los datos, sobrescribir los datos o eliminar la referencia a los datos. Existe una variedad de herramientas para la destrucción de evidencia de las cuales se pueden valer los intrusos para realizar este método anti-forense. Un ejemplo de herramientas son: Wipe, Shred, PGP secuere delete, Evidence Eliminator y Sswap. [15] Ocultar la Evidencia: Este método tiene como principal objetivo hacer inaccesible la evidencia para el investigador. No busca manipular, destruir o modificar la evidencia sino hacerla lo menos visible para el investigador. [9] Esta técnica puede llegar a ser muy eficiente de ser bien ejecutada pero conlleva muchos riesgos para el atacante o intruso, puesto que, al no modificar la evidencia de ser encontrada puede ser válida en una investigación formal y por lo tanto servir para la incriminación e identificación del autor de dicho ataque. Este método puede valerse de las limitaciones del software forense y del investigador atacando sus puntos ciegos o no usuales de búsqueda de alguna anomalía. [9] Propuesta Página 17

18 Una de las herramientas utilizadas por los atacantes es la esteganografía la cual versa sobre técnicas que permiten la ocultación de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. [16] En el mercado se pueden encontrar muchos instrumentos fáciles de usar, de bajo costo que pueden ayudar a realizar esta técnica anti-forense, como por ejemplo Setego- Archive [17]. Eliminación de la fuentes de la evidencia: Este método tiene como principal objetivo neutralizar la fuente de la evidencia, por lo que no es necesario destruir las pruebas puesto que no han llegado a ser creadas. Por ejemplo, en el mundo real cuando un criminal utiliza guantes de goma para utilizar un arma lo que está haciendo es neutralizando y evitando dejar huellas dactilares en el arma. Así mismo en el mundo digital esta neutralización de las fuentes de la evidencia aplica. [9] Una de las acciones que los atacantes pueden llevar a cabo para realizar este método anti-forense es la desactivación de los log de auditoría del sistema que esté atacando. Falsificación de la evidencia: Esta método busca engañar y crear falsas pruebas para los investigadores forenses logrando así cubrir a el verdadero autor, incriminando a terceros y por consiguiente desviar la investigación con lo cual sería imposible resolverla de manera correcta. El ejercicio de este método se vale en una edición selectiva de las pruebas creando evidencias incorrectas y falsas que corrompen y dañan la validez de dichas pruebas en una investigación forense formal, por lo cual no podrán ser tomadas en cuenta como evidencias. [9] Modelo Conceptual de Detección y Rastreo de Técnicas Anti-Forenses (Mo- DeRaTa) Este modelo presenta una propuesta que busca la clasificación e identificación de las técnicas anti-forenses en términos de esfuerzo o sofisticación requeridos por el atacante para Propuesta Página 18

19 ejecutar cualquier técnica, en la determinación de elementos susceptibles a estos ataques y en la identificación de dichas técnicas. [1] El modelo se describe en la figura 5 la cual contiene los niveles de detección y rastreo, niveles de análisis y técnicas utilizadas; donde cada categorización en los distintos niveles tiene las siguientes consideraciones: Niveles de análisis: Definen los elementos susceptibles donde se pueden materializar las técnicas anti-forenses tales como memoria, proceso, sistema de archivos, aplicación y gestión de la (in)seguridad. [1] Nivel de detección y rastreo: Establece los rangos y grados en los cuales es posible detectar y rastrear la materialización de técnicas anti-forenses e incluye el nivel de esfuerzo (sofisticación) requerido por el atacante para materializar la técnica anti-forense. [1] Técnicas anti-forenses: Indica las distintas técnicas (destruir, mimetizar, manipular y deshabilitar la cuales fueron definidas al inicio del documento) que pueden materializarse en los distintos niveles de análisis. [1] Figura 5 MODERATA [1] Fundamentos del NTFS Revisando la historia del sistema de archivos NTFS, encontramos que es un sistema de archivos diseñado e implementado por Microsoft, el cual surge como una necesidad para solucionar las falencias de seguridad, desempeño y confiabilidad que el sistema de archivos FAT poseía [18]. Dichos atributos se optimizan en NFTS al manejar la mayoría de los datos como archivos, de esta manera se hace más sencillo el control de la partición, ya que se tiene un bloque de información de control almacenado en archivos con metadata desde el momento en que la partición es creada, lo que le permite al sistema operativo identificar y localizar cualquier archivo de manera más eficiente [19]. Propuesta Página 19

20 La estructura que maneja un volumen de este sistema de archivos se ilustra en la siguiente imagen. Figura 6 Estructura del NTFS [20] Cabe resaltar que no todos los datos son archivos dentro de la partición. Por ejemplo, el Partition Boot Sector (PBS) no los maneja, ya que dicho fragmento en la estructura es el encargado de hacer las operaciones del sistema de archivos. Para realizar las operaciones del sistema, el PBS se divide en dos sectores; el BIOS Parameter Block (BPB) y el Volume Boot Code (VBC). El BPB es el encargado de describir el formato que tiene la partición y la estructura de datos de metadata y archivos que maneja la capa física del volumen. Así mismo, posee el Boot Code, el cual se encarga de comunicarle al sistema operativo cuales son los recursos con los que la máquina cuenta [21]. Sabiendo las características físicas del computador, el VBC carga el sistema operativo con el código que es único para cada uno. La Master File Table (MFT) actúa como una base de datos relacional en la cual las filas son archivos de historiales y las columnas con archivos de atributos. Todos los archivos de una partición NTFS deben tener por lo menos una ocurrencia dentro de la MFT [21]. Los primeros dieciséis registros de tabla son usados para describirse. A partir del diecisieteavo registro comienzan todos los registros de la partición. El tamaño de los registros se asocia con el tamaño del cluster del volumen, sin embargo, tienen un mínimo de 1024 bytes y un máximo de 4096 bytes, así, si un registro tiene 512 bytes, el tamaño que se le asigna es de 1024 [21]. El ejemplo más claro de este tipo de atributo es el nombre del archivo o su Time Stamp. La clasificación de los registros se da por la información que tienen y los tamaños dados, en este contexto se hacen llamar atributos, que pueden ser residentes y no residentes. Anteriormente, se cito un ejemplo de lo que pasa cuando el tamaño de un registro es menor que el mínimo establecido; ese tipo de registros y los que son menores o iguales al máximo establecido, se consideran residentes ya que se pueden almacenar en una sola tabla. Por otro lado, si un atributo llega a ser mayor de valor máximo estipulado, los clusters restantes se almacenar en una tabla adicional; este tipo se hace llamar atributos no residentes. Cada registro posee una lista de atributos que se caracteriza no sólo como residentes o no, sino también por su tipo. Los tipos que concretamente atañen la investigación del artículo son: Propuesta Página 20

21 Standard Information Attribute (SIA): contiene información sobre modo de acceso, timestamps (estampillas de tiempo) y cuenta de acoplamiento File Name (FN): posee información sobre nombre del archivo, un atributo repetible para los nombres corto y largo de un archivo. Una lista detallada de todos los tipos se puede encontrar en [21]. Los System Files o archivos de sistema son los archivos formales en los que se almacena información en forma de metadatos [22]. Se encuentran dentro de la MFT y guardan datos que la MFT no. El File Area contiene una copia de la MFT para efectos de recuperación de los datos en caso de problemas con la copia original [21]. Propuesta Página 21

22 4 Proceso 4.1Metodología En esta sección se mostrará cómo mediante una serie de fases de investigación se cumplirán los objetivos específicos, junto con un grupo de actividades básicas que se asocian a cada fase Objetivo 1: Estudiar y analizar el estado del arte de la criminalística, la criminalística digital y las técnicas anti-forenses existentes, enfocando estas últimas al sistema operativo Windows XP SP3 y al funcionamiento de su sistema de archivos, NTFS. 1. Fase 1: Revisar la literatura del contexto: se busca identificar fuentes bibliográficas que encierren en su totalidad la criminalística, informática forense, técnicas anti-forenses y funcionamiento del NTFS. 2. Fase 2: Análisis de literatura y construcción de fichas bibliográficas, según el formato solicitado por el director. Objetivo 2: Realizar el diseño de la guía metodológica enfocada a la identificación y validación del uso de técnicas anti-forenses en el análisis de información en computadores con sistema operativo con sistemas de archivos NTFS bajo un sistema operativo Windows XP SP3 encontrado en una escena de crimen.. 1. Fase 3: Estudiar y desglosar el Modelo Conceptual de Detección y Rastreo de Técnicas Anti-Forenses. 2. Fase 4: Diseñar y construir la guía metodológica para identificar y validar la aplicación de técnicas anti-forenses en Windows XP SP3. Objetivo 3: Probar el diseño de la guía metodológica basándose en los niveles del Modelo Conceptual de Detección y Rastreo de Técnicas Anti-Forenses (MoDeRaTA) en un sistema de archivos NTFS en un sistema operativo Windows XP SP3. 1. Fase 5: Determinar 3 tipos de técnicas anti-forenses para realizar las pruebas. 2. Fase 6: Realizar las pruebas de concepto y atómicas. 3. Fase 7: Realizar el ajuste en la guía con las pruebas realizadas. 4. Fase 8: Usando la guía metodológica, analizar los ataques realizados. 5. Fase 9: Analizar los resultados obtenidos al usar la guía para determinar su utilidad. Propuesta Página 22

23 4.2Actividades OBJETIVOS ESPECÍFICOS ACTIVIDADES FUENTES DE INFORMACIÓN RESULTADOS (ENTREGABLES) 1. Estudiar y analizar el estado del arte de la criminalística, la criminalística digital y las técnicas antiforenses existentes, enfocando estas últimas al sistema operativo Windows XP SP3 y al funcionamiento de su sistema de archivos NTFS. 1. Realizar una investigación sobre el contexto de la criminalística, técnicas de evasión, protocolos de aseguramiento de la escena del crimen y la valoración de elementos materiales probatorios. 2. Analizar el Manual Único de Criminalística proporcionado libremente por la Fiscalía General de la Nación, para determinar el funcionamiento de la investigación criminalística en Colombia. 3. Efectuar una exploración sobre los modelos existentes de informática forense y explicar su funcionamiento en un cuadro comparativo. 4. Encontrar vínculos entre la informática forense y la anti-forense partiendo de la investigación realizada con el objetivo anterior. 5. Realizar una investigación profunda de las técnicas anti-forenses. 1. IEEE (Instituto de Ingenieros Eléctricos y Electrónicos). 2. NIST (Instituto Nacional de Estándares y Tecnología). 3. Páginas web de criminalística. 4. Páginas web de informática forense. 5. Manual Único de la Criminalística. 6. Documentos y artículos de la base de datos de la Pontificia Universidad Javeriana 7. Artículos y trabajos de grado de Criptored y IJDE (International Journal of Digital Evidence). 9. Documentos en donde se ilustran las diferentes aplicaciones de la informática antiforense. 10. Libros que muestran la evolución de los 1. Documento de estado del arte de la criminalística e informática forense. 2. Documento de estado del arte de la criminalística en Colombia. 3. Descripción detallada de los modelos existentes para informática forense. 4. Documento del estado del arte de la informática antiforense. 5. Cuadro de herramientas anti-forenses con los sectores que ataca y su modo de funcionamiento. 6. Documento de análisis del Propuesta Página 23

24 6. Efectuar una revisión sobre las herramientas que actualmente se usan para la aplicación de las técnicas anti-forenses. 7. Analizar los sectores en donde las técnicas antiforenses pueden ser aplicadas dentro de un computador. ataques anti-forenses y su relación con la informática forense, Advances in Digital Forensics II y Forensics en Windows Forensic Analysis. 11. Documentos sobre el funcionamiento de NTFS. funcionamiento de NTFS en Windows XP. 8. Realizar una investigación básica sobre las vulnerabilidades en seguridad de Windows XP SP Página web oficial de NTFS. 9. Efectuar una investigación sobre el funcionamiento del sistema de archivos NTFS y encontrar falencias con las vulnerabilidades encontradas en el enciso anterior. 2. Realizar el diseño de la guía metodológica enfocada a la identificación y validación del uso de técnicas antiforenses en el análisis de la información en computadores con sistemas de archivos NTFS bajo un sistema operativo Windows XP SP3 encontrado en una escena de crimen. 1. Investigar y desglosar el Modelo Conceptual de Detección y Rastreo de Técnicas Anti-Forenses (MoDeRaTA), enfocándose en los ataques a sistemas de archivos. 2. Generar un procedimiento a seguir cuando se encuentra o sospecha que una técnica anti-forense ha sido aplicada en una escena del crimen. 1. Manual Único de la Criminalística. 2. Documentos que ilustren el funcionamiento y los componentes de MoDeRaTA. 3. Documentos entregados en el objetivo anterior. 1. Documento de análisis detallado de MoDe- RaTA, especificando los ataques a los sistemas de archivos. 2. Guía metodológica para identificar y validar la aplicación de técnicas anti-forenses en equipos con sistema operativo Windows XP Service Pack 3. Propuesta Página 24

25 3. Probar el diseño de la guía metodológica basándose en los niveles del Modelo conceptual de Detección y Rastreo de Técnicas Anti-forenses (MoDeRaTA) en un sistema de archivos NFTS en un sistema operativo Windows XP SP3. 1. Determinar tres tipos de técnicas anti-forenses para realizar las pruebas a la guía. 2. Realizar los ataques y aplicar la guía sobre un computador con Windows XP SP3. 3. Llevar a cabo una investigación forense aplicando la guía metodológica. 4. Generar un documento con el análisis y conclusiones de los ataques realizados que ilustre la utilidad de la guía. 1. Manual Único de la Criminalística. 2. Guía metodológica desarrollada en el objetivo anterior. 1. Documento que detalle paso a paso como fue la realización de los ataques realizados. 2. Computadores de prueba con los ataques anti-forenses realizados. 3. Documento de conclusiones de la utilidad de la guía y del proceso realizado. 4.3Entregables o Resultados Esperados SEMESTRE OBJETIVO ESPECÍFICO PRODUCTOS ESPERADOS Objetivo 1 Propuesta del Trabajo de Grado. Artículo Técnicas Anti- Forenses en Informática: Ingeniería Reversa aplicada a TimeStomp para el CIBSI (Congreso Iberoamericano de Seguridad Informática). Propuesta Página 25

26 I II Objetivo 2 Objetivo 3 Documento de estado del arte de de la criminalística, la criminalista digital y las técnicas anti-forenses existentes, enfocando estas últimas al sistema operativo Windows XP SP3 y al funcionamiento del sistema de archivos NTFS. Guía metodológica para identificar y validar la aplicación de técnicas antiforenses en computadores con Windows XP SP3. Resultados y conclusiones de las pruebas de escritorio y atómicas. Conclusiones acerca de la utilidad de la guía tomando como base los resultados de las pruebas realizadas. Memoria 4.4Presupuesto CONCEPTO DEL EGRESO FUENTE DE FINANCIACIÓN UNIDAD CANTIDAD COSTO POR UNIDAD TOTAL Honorarios Ingeniero de Sistemas 1 Honorarios Ingeniero de Sistemas 2 Honorarios director del proyecto de Pontificia Universidad Javeriana Pontificia Universidad Javeriana Pontificia Universidad Jave- Horas 288* $ $ Horas 288* $ $ Horas 64** $ $ Propuesta Página 26

27 grado Equipos de laboratorio y acceso a internet riana Pontificia Universidad Javeriana Horas Ilimitada $0 $0 Papel Propia Resmas 4 $ $ Tinta Propia Cartuchos HP deskjet 3820 (Negro) Empastar documento de trabajo de grado Computador personal Ingeniero 1 Computador personal Ingeniero 2 Microsoft Office Varios (Transporte, alimentación, papelería, luz, agua, teléfonos, celulares) 5 $ $ Propia Unidad 4 $ $ Propia Unidad 1 $325,000 $325,000 Propia Unidad 1 $250,000 $250,000 Pontificia Universidad Javeriana Unidad 1 $ $ Propia $ Total $47 515,000 * Teniendo en cuenta que en este proyecto se trabajará durante dos semestres por solicitud del director, en el primer semestre se elabora el trabajo de una materia de dos créditos (6 horas semanales tanto presenciales como no presenciales) y el segundo la carga de cuatro créditos de la materia de Trabajo de Grado (12 horas uniendo horas presenciales y horas de trabajo independiente). Por tanto, tenemos que al multiplicar las 6 horas semanales del Propuesta Página 27

28 primer semestre por las 16 semanas (96 horas), más las 12 horas semanales del segundo semestre por 16 semanas (192 horas), para un total de 288 horas por los dos semestres. ** Con 2 horas semanales por reunión durante 2 semestres con 16 semanas cada uno, se tiene un total de 64 horas. 4.5Cronograma Propuesta Página 28

29 5 Referencias y Bibliografía Esta sección presenta las referencias y bibliografía del trabajo de grado 5.1Referencias [1] Jeimy. J. Cano. (2007). Introducción a las técnicas anti forenses: Conceptos e implicaciones para investigadores. [Online] Disponible: JNSI_JCano.pdf. [2] Jeimy. J. Cano. (2007). Introducción a informática forense. [3] Noblett, Michael G; Pollitt Mark M; Presley Lawrence A. (2000). Recovering and Examining Computer Forensic Evidence. [online] Disponible en: Consultado (10/03/09) [4] López, Oscar; Amaya, Haver; León Ricardo; Acosta Beatriz. (2002). Informática Forense: Generalidades, aspectos técnicos y herramientas. [online] Disponible en: [5] Standards Australia International (2003) HB Guidelines for the management of IT Evidence. [6] IOCE. (2002). Guidelines For Best Practice In The Forensic Examination Of Digital Technology. [7] US Department Of Justice. (2001). Electronic Crime Scene Investigation: A Guide for First Responders. [8] Web Statistics and Trends Disponible en: (Consultado22/05/09) [9] R.Harris. (2006). Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. dfrws.org/2006/proceedings/6- harris.pdf Propuesta Página 29

30 [10] Vásquez G. Cesar A., Valero C. Horacio, Jiménez M. Francisco, Puentes R. Irma, Camacho B. Erika, CT Guzmán A. Juan. Tecnología en criminalística IV periodo. Bogotá D.C ISBN [11] Valencia G. Magnolia, Acosta W. Magda, Jaimes D. Gabriel, Reyes V. Ingrith, Valencia V. James, Jiménez L. Juan, Bermúdez B. Juan, Díaz P. Martin, Devia A. Fernando. Manual de Procedimientos del Sistema de Cadena de Custodia. Bogotá D.C Fiscalía General de la Nación. Disponible en CUSTODIA.pdf [12] Kshetri, N. (2006) The simple economics of cybercrime. IEEE Security & Privacy. January/February. SUNDT, C. (2006) Information security and the law. Information Security Technical Report. Vol.2 No.9. [13] Cano Jeimy J.; Computación Forense: Conceptos Básicos. [14] Gavin, M. referenciada en Cano Jeimy J.; Computación Forense: Conceptos Básicos. [15] Andres R. Almanza. (2007). Ciencias Anti-forenses Un nuevo reto para las organizaciones. [Online] Disponible: JNSI_AAlmanza.pdf [16] Info Seguridad: Esteganografia. [Online]. Disponible: [17] Stegoarchive. [Online] Disponible: [18] PCGuide. Overview and History of the NTFS. [Online] Disponible: [19] Ariza. A., Ruiz. J., Análisis de Metadatos en archivos Office y Adobe. [Online] Disponible: [20] PCGuide. NTFS file Atrtibutes. [Online] Disponible: [21] PCGuide. NFTS System (Metadata) Files. [Online] Disponible: [22] MicrosoftTech. [Online] Disponible: Propuesta Página 30

31 5.2Bibliografía Propuesta para el desarrollo del Trabajo de Grado [1] ACKOFF R., ADDISON H. (2007) MANAGEMENT F-LAW. HOW ORGANIZATIONS REALLY WORK. TRIARCHY PRESS. [2]Metasploit Anti-Forensics Project [online] disponible: [3] Jeimy. J. Cano. (2007). Inseguridad informática y computación anti-forense: Dos conceptos emergentes en seguridad de la información. [Online] Disponible: [4] Jeimy. J. Cano. (2007). Introducción a las técnicas anti forenses: Conceptos e implicaciones para investigadores. [Online] Disponible: ano.pdf. [5] R.Harris. (2006). Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. [Online] Disponible: dfrws.org/2006/proceedings/6- harris.pdf [6] Jeimy. J. Cano. (2007). Introducción a la Informática Forsen: Una Disciplina técnicolegal. [Online] Disponible: [7] Noblett, Michael G; Pollitt Mark M; Presley Lawrence A. (2000). Recovering and Examining Computer Forensic Evidence. [online] Disponible en: Consultado (10/03/09) [8] López, Oscar; Amaya, Haver; León Ricardo; Acosta Beatriz. (2002). Informática Forense: Generalidades, aspectos técnicos y herramientas. [online] Disponible en: [9] Standards Australia International (2003) HB Guidelines for the management of IT Evidence. [10] Jeimy. J. Cano. (2007). Introducción a las técnicas anti forenses: Conceptos e implicaciones para investigadores. [Online] Disponible: [11] Andres R. Almanza. (2007). Ciencias Anti-forenses Un nuevo reto para las organizaciones. [Online] Disponible: Almanza.pdf [12] Info Seguridad: Esteganografia. [Online]. Disponible: [13] Stegoarchive. [Online] Disponible: [14] Metasploit Anti-Forensics Project. [Online] Disponible: Propuesta Página 31