Anonimizacin y borrado de huellas

Jorge Fernando Zabala Rueda

fzabala@cosimti.com

Deshabilitacin de auditorias
Lo primero que los intrusos realizan
despus
de obtener privilegios de
administrador es
deshabilitar la auditora

Deshabilitacin de auditorias
Al habilitar la auditora de los eventos de sistema, se
puede rastrear cuando un usuario o proceso altera
aspectos del entorno del equipo.
Los eventos comunes incluyen:
el vaciado de los registros de eventos de seguridad
el apagado del equipo local
los cambios hechos en los paquetes de autenticacin
funcionando en el equipo.

Deshabilitacin de auditorias
512 El sistema operativo se est iniciando.
513 El sistema operativo se est apagando.
514 Un paquete de autenticacin se ha cargado mediante LSA.
515 Un proceso de inicio de sesin de confianza se ha
registrado con LSA.
517 Se ha limpiado el registro de Seguridad.
518 Se carg un paquete de notificacin mediante la SAM.
520 Se ha cambiado la hora del sistema.

Borrado de logs
Registro oficial de eventos durante un periodo de tiempo en particular

Para los profesionales en seguridad informtica un log es usado para registrar

datos o informacin sobre:
Quien
Que
Cuando
Donde
Por que
Un evento ocurre para un dispositivo en particular o aplicacin.

Mtodos para ocultar/ofuscar informacin

Ofuscacin es la traduccin comn, que tambin significa "enredar"
"confundir, en trminos generales describe una prctica que se utiliza de
manera intencional para hacer que algo sea ms difcil de interpretar.
Mediante la ofuscacin se busca brindar mayor:
Seguridad
Privacidad
Mtodos para ocultar informacin:
Criptografa
Ocultacin NTFS
Esteganografa

Criptografa
La palabra criptografa proviene del griego :
- Criptos: Oculto, Secreto
- Graphos: Escritura
Es el arte de escritura de texto o datos en cdigo secreto volvindolo ilegible
en el formato de datos, lo que se conoce como texto cifrado.
Se basa en algoritmos matemticos los cuales utilizan una clave secreta para
asegurar la transformacin.

Algoritmo de encriptacin:
- Pasar de letra a cdigo ASCII
- Multiplicarlo por 7
- Pasar a binario
- NOT a la cadena
- Espejar
- Concatenar la cadena
- XOR con clave
- Separar cada 8 bits
- Volver decimal
- Pasar de cdigo ASCII a letra

Algoritmo de desencriptacin:
- Pasar de letra a cdigo ASCII
- Pasar a binario
- XOR con clave
- Separar la cadena
- Espejar
- NOT a la cadena
- Pasar a decimal
- Dividir entre 7
- Pasar de cdigo ASCII a letra

Ocultacin NTFS (Alternate Data Streams)

Son una caracterstica del sistema de archivos NTFS que permite almacenar
metainformacin con un fichero, sin necesidad de usar un fichero separado
para almacenarla, existen por compatibilidad
con el sistema de archivos "Macintosh Hierarchical File System" (HFS).

CREANDO UN ADS:

Esteganografa
Es la ciencia de ocultar informacin dentro de diferentes tipos de datos normalmente
multimedia, es decir, el portador es una imagen digital, un vdeo o archivo de audio.
Existen numerosos mtodos y algoritmos utilizados para ocultar la informacin
dentro de archivos multimedia:
-

Enmascaramiento y filtrado
Algoritmos y transformaciones
Insercin en el bit menos significativo

Esteganografa - Insercin en el bit menos significativo

Consiste en hacer uso del bit menos significativo de los pixeles de una
imagen y alterarlo as la distorsin de la imagen en general se mantiene al
mnimo.
Los mejores resultados se obtienen en imgenes con formato de color RGB
(tres bytes, componentes de color, por pxel).

Ejemplo: Ocultando la letra A en 3 pixeles con formato RGB (3 bytes).

(3 pxeles, 9 bytes):
(1 1 0 1 1 0 1 0) (0 1 0 0 1 0 0 1) (0 1 0 0 0 0 1 1)
(0 0 0 1 1 1 1 0) (0 1 0 1 1 0 1 1) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 0) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)
Representacin ASCII de A: (1 0 0 1 0 1 1 1)
(1 1 0 1 1 0 1 1) (0 1 0 0 1 0 0 0) (0 1 0 0 0 0 1 0)
(0 0 0 1 1 1 1 1) (0 1 0 1 1 0 1 0) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 1) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

Navegacin Annima Servidores Proxy

Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en
lugar de otro ordenador.
Cuando navegamos a travs de un proxy, nosotros en realidad no estamos
accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy
y es ste quien se conecta con el servidor que queremos acceder y nos devuelve el
resultado de la solicitud.
Si todos lo usuarios se identifican como uno slo, es difcil que el recurso accedido
pueda diferenciarlos.

Navegacin Annima Servidores Proxy

Servidores proxy gratuitos:
2p.proxyssl.info - Czech Republic
webproxy.it.tc - Canad
zuntro.com - Netherlands
go4proxy.tk - Canad
rantoro.com - Germany
prox.ie.tc - Canad
zonk100.tk - Canad
001free4ever.tk - Canad

trustmeproxy.info - Singapur
cloacktrial.info - Singapur
aaaproxy.tk - Canad
proxy.1proxy.de - Poland
freestudent.info - Germany
2p.2proxy.de - Poland

Navegacin Annima Servidores Proxy

TOR
Es una red de tneles virtuales
conectados entre s, funciona como
un proxy encadenado, enmascara la
identidad de la computadora origen
para navegar en Internet utilizando
un conjunto de servidores aleatorios
cada vez que un usuario visita un
sitio.