El día 01 de noviembre de 2014 presente en la No cON Name una charla/taller sobre técnicas antiforensics.
El fin perseguido era demostrar que no solo es suficiente
con tener conocimientos de las técnicas, herramientas y utilizar una
metodología sino que se precisa averiguar las transformaciones que se han
podido introducir y/o combinar además del perfil del posible autor para poder
solucionar un caso.
Introducirnos a una funcionalidad como los “Alternate Data
Stream” y ver que su uso puede ser explotado por la ciberdelincuencia para
ocultar información o incluso Malware.
Demostrar que al llevar a cabo un análisis forense no
podemos darlo como bueno con los resultados encontrados y que siempre deberemos
adecuar el estudio a las características de los factores intervinientes no solo
materiales sino y sobre todo los humanos.
Las personas implicadas en el
incidente sus motivaciones y situaciones particulares obligaran al perito a
profundizar en su raciocinio en búsqueda del esclarecimiento del caso.
También ver que no hace falta muchos conocimientos técnicos ni tener que elaborar sofisticadas herramientas con código altamente especializado para poder crear información donde los investigadores no suelen mirar, como con la propia herramienta de un fabricante para actualizar el firmware de su producto es suficiente para utilizarse para el fin descrito.
Se termina analizando un caso en que se sospecha que
contiene una clave de descifrado necesaria para poder esclarecer un compromiso
y se vera que cuando creemos que hemos solucionado el enigma solo hemos encontrado
lo que el ciberdelincuente quería.
el enlace de la presentación lo podéis encontrar en la plataforma "Prezi":
La imagen del reto expuesto (3*10^4 MB) se puede descargar desde Mega:
Physical Evidentiary Item (Source) Information:
[Device Info]
Source Type: Physical
[Drive Geometry]
Cylinders: 3.824
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 61.440.000
[Physical Drive Information]
Drive Model: Kingston DataTraveler 3.0 USB Device
Drive Interface Type: USB
Removable drive: True
Source data size: 30000 MB
Sector count: 61440000
MD5 checksum: 00c97507dce5c61df3fd15a9db2e7b04
SHA1 checksum: 321a693ab1060b960785fcff4b463a5c4d615e5c
Physical Evidentiary Item (Source) Information:
[Device Info]
Source Type: Physical
[Drive Geometry]
Cylinders: 3.824
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 61.440.000
[Physical Drive Information]
Drive Model: Kingston DataTraveler 3.0 USB Device
Drive Interface Type: USB
Removable drive: True
Source data size: 30000 MB
Sector count: 61440000
[Computed Hashes]
MD5 checksum: e3b13c355791d22b252794ec66096d8c
SHA1 checksum: c55f8ff4bf3d7e46feadb48d93f17543ac723a21