domingo, 2 de noviembre de 2014

Antiforensics y la Alquimia de los bits

El día 01 de noviembre de 2014 presente en la No cON Name una charla/taller sobre técnicas antiforensics.

El fin perseguido era demostrar que no solo es suficiente con tener conocimientos de las técnicas, herramientas y utilizar una metodología sino que se precisa averiguar las transformaciones que se han podido introducir y/o combinar además del perfil del posible autor para poder solucionar un caso.

Introducirnos a una funcionalidad como los “Alternate Data Stream” y ver que su uso puede ser explotado por la ciberdelincuencia para ocultar información o incluso Malware.


Demostrar que al llevar a cabo un análisis forense no podemos darlo como bueno con los resultados encontrados y que siempre deberemos adecuar el estudio a las características de los factores intervinientes no solo materiales sino y sobre todo los humanos. 

Las personas implicadas en el incidente sus motivaciones y situaciones particulares obligaran al perito a profundizar en su raciocinio en búsqueda del esclarecimiento del caso.

También ver que no hace falta muchos conocimientos técnicos ni tener que elaborar sofisticadas herramientas con código altamente especializado para poder crear información donde los investigadores no suelen mirar, como con la propia herramienta de un fabricante para actualizar el firmware de su producto es suficiente para utilizarse para el fin descrito.

Se termina analizando un caso en que se sospecha que contiene una clave de descifrado necesaria para poder esclarecer un compromiso y se vera que cuando creemos que hemos solucionado el enigma solo hemos encontrado lo que el ciberdelincuente quería.

el enlace de la presentación lo podéis encontrar en la plataforma "Prezi":

Presentación de Antiforensics y la Alquimia de los bits





La imagen del reto expuesto (3*10^4 MB) se puede descargar desde Mega: 


Physical Evidentiary Item (Source) Information:
[Device Info]
 Source Type: Physical
[Drive Geometry]
 Cylinders: 3.824
 Tracks per Cylinder: 255
 Sectors per Track: 63
 Bytes per Sector: 512
 Sector Count: 61.440.000
[Physical Drive Information]
 Drive Model: Kingston DataTraveler 3.0 USB Device
 Drive Interface Type: USB
 Removable drive: True
 Source data size: 30000 MB
 Sector count:    61440000
 MD5 checksum:    00c97507dce5c61df3fd15a9db2e7b04
 SHA1 checksum:   321a693ab1060b960785fcff4b463a5c4d615e5c


Physical Evidentiary Item (Source) Information:
[Device Info]
 Source Type: Physical
[Drive Geometry]
 Cylinders: 3.824
 Tracks per Cylinder: 255
 Sectors per Track: 63
 Bytes per Sector: 512
 Sector Count: 61.440.000
[Physical Drive Information]
 Drive Model: Kingston DataTraveler 3.0 USB Device
 Drive Interface Type: USB
 Removable drive: True
 Source data size: 30000 MB
 Sector count:    61440000
[Computed Hashes]
 MD5 checksum:    e3b13c355791d22b252794ec66096d8c
 SHA1 checksum:   c55f8ff4bf3d7e46feadb48d93f17543ac723a21


Web Statistics