Guido Rosales Uriona / inmediaciones
La informática forense, así como otras ciencias de la investigación presenta diversas técnicas que pueden haber sido utilizadas para contaminar o destruir la evidencia digital. Estas técnicas deben ser consideradas como “posibles” al momento de realizar el análisis forense de la evidencia digital y sobre todo al momento de definir PUNTOS PERICIALES..
Los casos citados son más específicos y adecuados a entornos personales. Evidentemente sin políticas y controles empresariales también pueden darse a nivel laboral o de alguna manera pueden involucrar credenciales de administración y super usuarios.
En las siguientes entregas estaré analizando algunas con la finalidad de dar un acercamiento referencial de las mismas. Reitero la finalidad; deben ser consideradas por los investigadores, abogados, jueces y policías antes de dar por cierta o falsa la información que pueda proporcionar este tipo de evidencias.
Por ahora podemos citar algunas de manera referencial y abocarnos en la primera:
- Modificación de hora y fecha
- Desfragmentación de disco
- Borrado seguro y mantenimiento de espacio libre.
- Respaldos totales en el mismo equipo.
- Autoinfección con malware
- Autohackeo con acceso remoto
- Cambio de dispositivo y partes
- Reinstalación de sistema operativo
- Eliminación de logs y registro de eventos
- Intermitencia en registro de eventos
- Máquinas virtuales
- Espacios cifrados
- Archivos cifrados
- Booteo electivo
- Usuarios fantasmas
- Lenguaje codificado: apodos y sobrenombres a las acciones y objetos
- Modificacion de firmas y extenciones de archivo
- Modificacion de cabeceras
- Camuflaje de archivos
¡¡y Otras, que sin duda estaremos recordando de los casos atendidos durante mas de 20 años!! Lamentablemente a veces la imaginación para delinquir supera a todas las habilidades humanas.
Vamos con la primera:
Modificación de hora y fecha
Cuando un archivo se lea, acceda o modifica, estos datos quedan registrados a nivel de metadatos.
Pero si se ha modificado ya sea desde el BIOS (caso de un usuario mas avanzado) o solamente desde el SO las propiedades de ese archivo podrán ser modificadas.
Una opcion es trabajar con fecha pasada:
Mas critico puede ser trabajar con fecha futura:
Los ejemplos son con archivos individuales, pero si despues de modificar las fechas copiamos todo un directorio de trabajo:
Los metadatos seran alterados.
si alguien se anima, puede enviarme por inbox cual es el resultado de esta modificación. Que metadatos son alterados?
Efecto antiforense
Resulta que cuando se investiga un hecho, normalmente se acota el alcance de manera temporal, pero no se esta considerando esta posibilidad.
Cuando la modificación se hace hacia el pasado, se puede estar ocultando sutilmente información relaciona a un hecho puntual.
Cuando la modificación es al futuro, se esta llegando a cuestionar toda la integridad de este control.
Como se puede detectar? Sera tarea de casa investigar. Vamos a juntar respuestas y publicarlas mas adelante.
