Anonimización y borrado de huellas

Jorge Fernando Zabala Rueda

fzabala@cosimti.com

Deshabilitación de auditorias

Lo primero que los intrusos realizan después

de obtener privilegios de administrador es

deshabilitar la auditoría

Deshabilitación de auditorias Al habilitar la auditoría de los eventos de sistema, se

puede rastrear cuando un usuario o proceso altera

aspectos del entorno del equipo.

• Los eventos comunes incluyen:

– el vaciado de los registros de eventos de seguridad

– el apagado del equipo local

– los cambios hechos en los paquetes de autenticación

funcionando en el equipo.

Deshabilitación de auditorias

– 512 El sistema operativo se está iniciando.

– 513 El sistema operativo se está apagando.

– 514 Un paquete de autenticación se ha cargado mediante LSA.

– 515 Un proceso de inicio de sesión de confianza se ha

registrado con LSA.

– 517 Se ha limpiado el registro de Seguridad.

– 518 Se cargó un paquete de notificación mediante la SAM.

– 520 Se ha cambiado la hora del sistema.

Borrado de logs Registro oficial de eventos durante un periodo de tiempo en particular

Para los profesionales en seguridad informática un log es usado para registrar datos o información sobre:

• Quien

• Que

• Cuando

• Donde

• Por que

Un evento ocurre para un dispositivo en particular o aplicación.

Métodos para ocultar/ofuscar información

Ofuscación es la traducción común, que también significa "enredar" ó "confundir“, en términos generales describe una práctica que se utiliza de manera intencional para hacer que algo sea más difícil de interpretar.

Mediante la ofuscación se busca brindar mayor:

• Seguridad

• Privacidad

Métodos para ocultar información:

• Criptografía

• Ocultación NTFS

• Esteganografía

Criptografía

La palabra criptografía proviene del griego :

- Criptos: Oculto, Secreto

- Graphos: Escritura

Es el arte de escritura de texto o datos en código secreto volviéndolo ilegible en el formato de datos, lo que se conoce como texto cifrado.

Se basa en algoritmos matemáticos los cuales utilizan una clave secreta para asegurar la transformación.

Algoritmo de desencriptación:

- Pasar de letra a código ASCII

- Pasar a binario

- XOR con clave

- Separar la cadena

- Espejar

- NOT a la cadena

- Pasar a decimal

- Dividir entre 7

- Pasar de código ASCII a letra

Algoritmo de encriptación:

- Pasar de letra a código ASCII

- Multiplicarlo por 7

- Pasar a binario

- NOT a la cadena

- Espejar

- Concatenar la cadena

- XOR con clave

- Separar cada 8 bits

- Volver decimal

- Pasar de código ASCII a letra

Ocultación NTFS (Alternate Data Streams)

Son una característica del sistema de archivos NTFS que permite almacenar metainformación con un fichero, sin necesidad de usar un fichero separado para almacenarla, existen por compatibilidad

con el sistema de archivos "Macintosh Hierarchical File System" (HFS).

CREANDO UN ADS:

Esteganografía Es la ciencia de ocultar información dentro de diferentes tipos de datos normalmente multimedia, es decir, el portador es una imagen digital, un vídeo o archivo de audio.

Existen numerosos métodos y algoritmos utilizados para ocultar la información dentro de archivos multimedia:

- Enmascaramiento y filtrado

- Algoritmos y transformaciones

- Inserción en el bit menos significativo

Esteganografía - Inserción en el bit menos significativo

Consiste en hacer uso del bit menos significativo de los pixeles de una imagen y alterarlo así la distorsión de la imagen en general se mantiene al mínimo.

Los mejores resultados se obtienen en imágenes con formato de color RGB (tres bytes, componentes de color, por píxel).

Ejemplo: Ocultando la letra A en 3 pixeles con formato RGB (3 bytes).

(3 píxeles, 9 bytes):

(1 1 0 1 1 0 1 0) (0 1 0 0 1 0 0 1) (0 1 0 0 0 0 1 1)

(0 0 0 1 1 1 1 0) (0 1 0 1 1 0 1 1) (1 1 0 1 1 1 1 1)

(0 0 0 0 1 1 1 0) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

Representación ASCII de A: (1 0 0 1 0 1 1 1)

(1 1 0 1 1 0 1 1) (0 1 0 0 1 0 0 0) (0 1 0 0 0 0 1 0)

(0 0 0 1 1 1 1 1) (0 1 0 1 1 0 1 0) (1 1 0 1 1 1 1 1)

(0 0 0 0 1 1 1 1) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

Navegación Anónima – Servidores Proxy Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en lugar de otro ordenador.

Cuando navegamos a través de un proxy, nosotros en realidad no estamos accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy y es éste quien se conecta con el servidor que queremos acceder y nos devuelve el resultado de la solicitud.

Si todos lo usuarios se identifican como uno sólo, es difícil que el recurso accedido pueda diferenciarlos.

Navegación Anónima – Servidores Proxy Servidores proxy gratuitos:

2p.proxyssl.info - Czech Republic

webproxy.it.tc - Canadá

zuntro.com - Netherlands

go4proxy.tk - Canadá

rantoro.com - Germany

prox.ie.tc - Canadá

zonk100.tk - Canadá

001free4ever.tk - Canadá

trustmeproxy.info - Singapur

cloacktrial.info - Singapur

aaaproxy.tk - Canadá

proxy.1proxy.de - Poland

freestudent.info - Germany

2p.2proxy.de - Poland

Navegación Anónima – Servidores Proxy

TOR

Es una red de túneles virtuales conectados entre sí, funciona como un proxy encadenado, enmascara la identidad de la computadora origen para navegar en Internet utilizando un conjunto de servidores aleatorios cada vez que un usuario visita un sitio.