En la pasada edición de las conferencias de seguridad No cON Name tuvieron bastante protagonismo las charlas sobre esteganografía o la habilidad de ocultar información en archivos donde uno no se esperaría encontrarla.
Sectores «invisibles» en discos duros
Nos gustó especialmente la charla realizada por el investigador Daniel O’Grady Rueda, quien nos comentó cómo había conseguido utilizar unos sectores en concreto de los discos duros para crear una partición indetectable (hasta el momento) por los sistemas operativos. Los discos duros tradicionales, utilizados para almacenar toda nuestra información, se componen de una estructura de cilindros, pistas y demás partes que los fabricantes organizan de una forma determinada, dejando ciertos sectores para almacenar parte de su funcionalidad, es decir, el firmware del disco.
El espacio reservado en el propio dispositivo para introducir estas funcionalidades es muy superior a lo que necesitan (llegando a ser de alrededor de un giga en discos duros actuales). Aprovechando este espacio se pueden almacenar datos, programas o incluso malware que podría ser no detectado por los sistemas de seguridad tradicionales. Para conseguir almacenar esta información, Daniel ha desarrollado unos drivers especiales y los ha utilizado en un fabricante en concreto de discos duros. Gracias a estos drivers se consigue acceder a los cilindros negativos en las dos caras de cada uno de los platos del disco, funcionalidad que no poseen los sistemas operativos por defecto.
En el siguiente vídeo podemos observar cómo Daniel realiza una demostración del uso de este driver:
Ocultando información de muchas maneras
Por su parte, Juan Carlos Ruiloba, experto con una dilatada experiencia profesional tanto en su papel de exjefe del grupo de Cibercrimen de la Jefatura Superior de Policía de Cataluña como en sus labores actuales de investigador privado, expuso varios ejemplos de dónde se podría ocultar información confidencial que normalmente se pasa por alto.
De todos los ejemplos que mostró nos quedamos con la modificación del firmware de una tarjeta gráfica (almacenado en la EPROM) ya que este no posee ningún tipo de firma ni comprobación, lo que le permite seguir siendo perfectamente útil pero almacenando información oculta que solo unos pocos perspicaces serían capaces de descubrir, tal y como podemos ver en su presentación:
Conclusión
Así pues, esperamos que los análisis forenses que se realizan habitualmente por las Fuerzas y cuerpos de Seguridad del Estado y empresas privadas estén al tanto de estas técnicas de ocultación de la información. De no ser así, se podrían haber obviado datos o aplicaciones guardadas y ocultadas en diferentes áreas “ocultas” de componentes de los ordenadores, no descubriendo aquello que se suponía que ocultaban.