Estrategias anti-forenses en informática: Repensando la computación forense

Abstract: 
Las agendas de los altos ejecutivos en tecnología informática están orientadas a estrategias de integración y generación de valor para el negocio (AKELLA, J., KANAKAMEDALA, K. y ROBERTS, R. 2007), mientras que las de los atacantes o intrusos a generar nuevas distinciones y oportunidades para desarrollar y cuestionar las tecnologías de información. En este contexto, las estrategias anti-forenses en informática se presentan como una forma para repensar las prácticas actuales y procedimientos vigentes en computación forense, para así fortalecer las investigaciones y herramientas tecnológicas disponibles, que permitan generar valor y confianza tanto a las organizaciones e individuos como a la administración de justicia y sus organismos asociados.

Introducción

Bien decía Albert Einstein "Es absurdo pensar que obtendré cosas novedosas, haciendo siempre lo mismo". Este mensaje convoca de manera inmediata a la imaginación y a la realidad, cuestiona nuestro pensar y nuestro actuar, nos hace ver que los modelos y buenas prácticas, si bien nos permiten armonizar las acciones en un contexto operacional, táctico y estratégico, también nos muestra que son parte integral de los lentes con que observamos el mundo y, por tanto, nos limitan para ver más allá de los márgenes que ellos establecen. La realidad en la que nos movemos nos supera en variedad y, por tanto, considerar acciones fuera de los conceptos establecidos, puede ayudarnos a mover la línea del conocimiento hasta ese momento conocida.

En este contexto, las prácticas en computación forense han venido avanzando y armonizándose de tal forma que los profesionales de esta disciplina, consiguen cada vez resultados más confiables y tecnologías más efectivas; (DAVIS, C., PHILIPP, A. y COWEN, D. 2005) sin embargo, la misma dinámica de las vulnerabilidades tecnológicas y la inseguridad informática propia de los sistemas computacionales hace que día a día los esfuerzos de homogenización de dichas prácticas reciban mensajes nuevos, que exijan repensar nuevamente la manera de cómo se adelantan las investigaciones y los análisis. (CANO, J. 2007)

En consecuencia y refraseando a Ackoff (ACKOFF, R y ADDISON, H. 2007, pág.67) "nadie puede diseñar un sistema, que alguien más no pueda comprometer o vulnerar". Esta frase nos advierte que las mejoras y acciones que se adelanten en las herramientas forenses siempre estarán expuestas a nuevos desafíos y pruebas, los cuales permitirán nuevos desarrollos y estrategias para enfrentar la inseguridad de la información y los exigentes requisitos legales, alrededor de la evidencia digital, que se demandan al participar en un proceso judicial.

La computación anti-forense plantea una reflexión en el "lado oscuro" de las investigaciones forenses. Una realidad que nos invita a ver "lo que nosotros no vemos", a quitarnos la venda de nuestra propia experiencia, para observar cómo lo que conocemos puede ser vulnerado, distorsionado, escondido o destruido, sin que muchas veces, no nos percatemos de estos hechos. El escenario descrito debe cuestionar al investigador para reformar su propia práctica, más allá del uso de las herramientas forenses disponibles, buscando comprender cómo el atacante o intruso explora el funcionamiento mismo de los sistemas de archivo o dispositivos por fuera de lo que se exhibe en la teoría o implementación práctica.

Este documento es una invitación a los lectores para potenciar sus conocimientos técnicos y procedimentales en computación forense, reconociendo que existe una realidad dual (anti-forense) que está constantemente esperando ser descubierta, para revelarnos nuevas formas de pensar y hacer, y así avanzar tanto en el pericia técnica como en la formación permanente de los especialistas en investigaciones forenses en informática.

Evolución técnica de los ataques: Conociendo al enemigo

Reconocer que existe un dual en computación forense, es mirar a través de la lente divergente de la creatividad técnica y el desaprendizaje. Los intrusos (y también los -hackers-, en el buen sentido de la palabra) saben que cuando se profundiza en los conceptos establecidos es posible encontrar fuentes de luz aún desconocidas que desestabilizan el statu quo. (HONEYNET PROJECT 2004, KOVACICH, G y BONI, W. 2000) En este sentido, si revisamos un poco la historia de las vulnerabilidades y cómo los recientes ataques de seguridad establecen retos, tanto a los profesionales de seguridad como a los investigadores forenses, podemos visualizar cómo la computación anti-forense ha venido conviviendo con la inseguridad de la información desde sus inicios.

Si nos remontamos a 1988 cuando se materializó el primer gusano en Internet (RUIU, D. 2006), diseñado por Robert Morris, que aprovechándose de una falla en los sistemas de correo electrónico logró poner fuera de servicio más de 60.000 sistemas de correo electrónico en los Estados Unidos, podemos ver que la investigación subsiguiente del hecho, debió demandar un análisis detallado del protocolo de correo SMTP, largas horas de seguimiento de los mensajes entre los diferente destinos y, sobre manera, el conocimiento de la funcionalidad del gusano creado. Para esa época probablemente las herramientas forenses disponibles no eran tan abundantes, lo que exigió de los investigadores participantes mucho ingenio, conocimiento técnico y habilidad para encontrar respuesta a los interrogantes planteados.

Con el paso del tiempo, durante los 90’s, las fallas de seguridad o vulnerabilidades se fueron especializando (ídem). El buffer overflow (o desbordamiento de variables en los entornos de ejecución), los programas denominados shellcodes (códigos de programas que al inyectarse en la memoria de un dispositivo y ejecutarse, obtiene interfaz de comandos con privilegios altos), el IP Spoofing (la suplantación de dirección IP), la manipulación de la pila de protocolos, particularmente de TCP/IP y la inundación de redes o sistemas de comunicaciones con altas cantidades de paquetes válidos e inválidos, fueron la constante que pusieron en alerta a todas las empresas y sus mecanismos de seguridad para identificar y contrarrestar dichas manifestaciones y tratar de mantener el "control" aparente del funcionamiento de sus infraestructura de computación y comunicaciones.

Este panorama de los 90’s fue un gran reto para los investigadores forenses; ajustar sus prácticas y procedimientos, generalmente orientados a máquinas o dispositivos específicos, y adaptarlos a escenarios en redes donde la diversidad de sistemas operacionales, operaciones y comportamientos eran parte inherente del escenario de análisis.

Finalizando los 90’s e iniciando el nuevo milenio, nuevas formas de ataques siguieron apareciendo. Los temas orientados al WEB, la inyección de código SQL, la suplantación de sitios web, el phishing, las fallas en las bases de datos, la manipulación de paquetes de comunicación (fragmentación patológica, paquetes malformados), la ingeniería inversa, como estrategia para superar medidas de seguridad y control (EILAM, E. 2005) y nuevos gusanos, ahora más elaborados y con capacidad de contagio y expansión más evidente, gracias a las conexiones vía Web y los códigos ejecutables embebidos en sus páginas, muestran un panorama más exigente y más elaborado para adelantar investigaciones forenses en informática. (CASEY, E. 2006)

Las habilidades forenses de los investigadores de este momento, no solamente debían estar alimentadas por su práctica normal de manejo de evidencia, sino del conocimiento técnico y profundo de los ataques y sus implicaciones. Durante esta época, las simulaciones en laboratorios y ejercicios controlados en dichas instalaciones, debían ser la práctica habitual, para poder detallar los hallazgos y elaborar las conclusiones de los trabajos realizados.

Conforme ocurría esto durante el inicio del año 2000, los intrusos, nuevamente comprenden que los investigadores les siguen la pista de cerca, adaptándose rápidamente a los desafíos de la inseguridad. Luego no bastaba con perpetrar un ataque o fraude con alta destreza técnica y delicada implementación, sino que era necesario demorar o confundir a los investigadores, para tener más tiempo y espacio para continuar aprendiendo, mientras ellos (los investigadores) lograban comprender qué había ocurrido. (GARFINKEL, S. 2007, GARFINKEL, S. 2003) En este sentido, se inicia un cambio y ajuste de estrategia de los atacantes por ocultar, distorsionar o destruir los rastros que pudiesen haber quedado luego de sus acciones en los sistemas.

Con esta nueva evolución, las investigaciones forenses hasta el momento conocidas, deben tener un cambio y adaptación para, no sólo comprender lo ocurrido, sino evidenciar con mayor detalle, si las evidencias recabadas corresponden al incidente y si éstas, no han sido manipuladas por el atacante para evadir la investigación. Esta realidad, exige de los investigadores forenses reconocer en las pruebas de vulnerabilidades efectuadas por los especialistas de seguridad, un paradigma para aplicar ahora sobre las herramientas que ellos utilizan, pues la confiabilidad de las mismas una vez más se somete a nuevos escenarios que pueden impactar negativamente el desarrollo de las investigaciones. (PAN, L. y BATTEN, L. 2005)

Conceptos y técnicas de las investigaciones forenses en informática

Las técnicas anti-forenses a la fecha no cuentan con un marco de referencia compartido para su estudio o análisis, pero revisándolas desde la perspectiva de las vulnerabilidades informáticas podríamos ver una oportunidad para comprender mejor su funcionamiento. En este sentido, las técnicas anti-forenses retan a los investigadores para hacer fallar las herramientas forenses disponibles y afinar las mismas. (Adaptado de SCHNEIER, B. 2003, pág.8).

Si bien, la madurez de las herramientas forenses disponibles a la fecha es tema de investigación actual, de igual forma y con mayor preocupación, están las técnicas anti-forenses, como ese factor crítico de éxito para ajustar los procedimientos forenses que se adelanten en las investigaciones. Es claro, que los procedimientos estándares que actualmente se tienen para asegurar la escena del incidente podrían no tener cambios significativos, pero sí requieren ser repensados y analizados a la luz de la imaginación de los atacantes para disminuir la capacidad de identificación, recolección, análisis y presentación de evidencia en un proceso.

Las técnicas anti-forenses genéricas (PEIKARI, C y CHUVAKIN, A. 2004, cap.22), como las técnicas forenses específicas en informática, evolucionan y se perfeccionan;  en este sentido, los conceptos base para la comprensión de sistemas de archivo, sistemas de comunicaciones, sistemas inalámbricos, medios de almacenamiento, sistemas operacionales, protocolos de comunicaciones, manejo de dispositivos electrónicos recientes como los asociados con Radio Frequency Identification- RFID, se vuelven críticos para la formación y práctica de los investigadores forenses, pues, sin conocimiento claro de los mismos, habrá mayores oportunidades para el atacante para confundir y distorsionar la realidad de los hechos. Es importante aclarar,  que no se pretende que el investigador tenga un conocimiento total de todos los conceptos base presentados, sino la conciencia y experiencia requerida para que en el trabajo de campo futuro sepa qué puede hacer, qué no y dónde puede aportar para reconocer posibles estrategias de evasión por parte de los intrusos.

Las técnicas forenses en este escenario de constante evolución, requieren un protocolo diferente de estandarización y ajuste para estar tan cerca como las nuevas vulnerabilidades que se presenten tanto en sus herramientas como en las infraestructuras de las empresas. En este contexto, los encargados del mejoramiento de las prácticas forenses (institutos internacionales, organismos gubernamentales, universidades e investigadores de campo) deben dedicar parte de su tiempo para mirar cómo los eventos del entorno son relevantes para la práctica de las investigaciones forenses. No solamente es la regulación del ejercicio práctico y procedimental, que es necesario para generar mayor confiabilidad de los resultados (IEONG, R. 2006), sino la capacidad para desarrollar nuevas formas de fortalecer las herramientas y técnicas utilizadas en pro del avance de la disciplina como tal y por ende de la administración de justicia.

Un marco conceptual de estrategias anti-forenses

Para desarrollar un marco conceptual de análisis de las estrategias anti-forenses revisaremos algunas definiciones disponibles sobre las mismas: (HARRIS, R. 2006, pág.44 y 45)

1. "(...) methods used to prevent (or act against) the application of science to those criminal and civil laws that are enforced by police agencies in a criminal justice system. (...)"

2. "(..) limit the identification, collection, collation and validation of electronic data.(...)"

3. "(...) attempting to limit the quantity and quality of forensic evidence (...)"

4. " (...) any attempts to compromise the availability or usefulness of evidence to the forensics process. (...)"

Revisando estas definiciones observamos que cada una de ellas hace énfasis en diferentes realidades de las investigaciones forenses. La primera está orientada al proceso formal en el cual se funda la criminalística y el ejercicio formal de los criminalistas para apoyar a la administración de justicia en su búsqueda de la verdad en cada uno de los procesos. La segunda y tercera están enfocadas al proceso mismo de la investigación que procura la mejor evidencia posible para probar lo ocurrido. Finalmente, la cuarta, trata de cubrir todas las anteriores, combinando lo requerido en el proceso formal forense y la utilidad de la evidencia identificada, recuperada y analizada.

Si tratamos de modificar la cuarta definición, podríamos expandirla de tal forma que oriente a los investigadores forenses en la práctica. La propuesta sería: "Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense".

Considerando lo anterior, las estrategias anti-forenses aplicadas en la escena del posible ilícito o incidente buscan, entre otros objetivos, los siguientes: (GARFINKEL, S. 2007, pág.77)

  • Limitar la detección de un evento que haya ocurrido.
  • Distorsionar la información residente en el sitio.
  • Incrementar el tiempo requerido para la investigación del caso.
  • Generar dudas en el informe forense o en el testimonio que se presente.
  • Engañar y limitar la operación de las herramientas forenses informáticas.
  • Diseñar y ejecutar un ataque contra el investigador forense que realiza la pericia.
  • Eliminar los rastros que pudiesen haber quedado luego de los hechos investigados.

En consecuencia, las estrategias anti-forenses establecen un nuevo capítulo en las investigaciones científicas tanto en seguridad de la información como en las ciencias forenses, pues, considerando los objetivos planteados anteriormente, se requiere conocer detalladamente los procedimientos forenses establecidos a la fecha para desvirtuarlos uno a uno y así, generar confusión e incertidumbre para todos los actores del proceso.

Si lo previamente planteado es correcto, es necesario profundizar en los métodos previstos para materializar dichas estrategias anti-forenses. Investigaciones recientes (HARRIS, R. 2006, pág.45) proponen la siguiente clasificación de métodos: destrucción de la evidencia, eliminación de la fuente de la evidencia, ocultar la evidencia y falsificación de evidencia.

Destrucción de la evidencia (CANO, J. 2007b), esto busca modificar físicamente el objeto que contiene la evidencia requerida, de tal forma, que no sea posible conseguirla de manera confiable o real. Cuando se habla de eliminar la fuente de la evidencia, significa neutralizar el sistema o la técnica utilizada por el sistema para dejar los rastros (HOGLUND, G y BUTLER, J. 2006); al controlar esta técnica o proceso no existirá la evidencia y, por tanto, no habrá trazas que seguir en una investigación. (ídem)

Si el atacante no ha podido materializar los dos métodos anteriores puede optar por esconder la evidencia o falsificarla. En la primera, la evidencia se dispersa en el medio que la contiene, se oculta en el mismo, o en el sistema que la contiene, limitando los hallazgos del investigador en su proceso. En la segunda, crea o invalida la evidencia residente en el sistema para limitar las conclusiones y análisis que adelante el investigador. (ídem)

Complementando la propuesta efectuada por Harris, Garfinkel  (GARFINKEL, S. 2007, pág.78-80) detalla algunas técnicas tradicionalmente utilizadas para materializar los métodos previamente presentados, entre los cuales mencionamos la sobre escritura de datos y metadatos, así como la utilización de técnicas criptográficas y esteganográficas.

La sobre-escritura de datos y metadatos está asociada con la modificación física de la información residente en los medios de almacenamiento y sus sistemas de archivo. Es una manera para dejar inconsistente una posible recuperación de información o una forma de construir entradas falsas en las tablas de asignación de archivos que generen la aparición de archivos inexistentes.

Las técnicas criptográficas son un desafío para los investigadores forenses (CASEY, E. 2002), pues identificar la evidencia cifrada (sin la llave de cifra) establece una barrera para continuar con los hallazgos y genera discontinuidad en los rastros requeridos para armar la cadena de los eventos. La criptografía actualmente ataca la efectividad de las herramientas forenses y los resultados asociados con los análisis realizados por las mismas. De igual forma, la esteganografía, entendida como el arte de esconder la información, no solamente sobre imágenes, sino sobre sistemas de archivo o tráfico de red, amplía el espectro de análisis y cuidados que el investigador debe tener cuando de aplicar sus procedimientos se trata. (ECKSTEIN, K y JAHNKE, M. 2005, SIEFFER, M., FORBE, R., GREEN, C., POPYACK, L. y BLAKE, T. 2004)

Repensando las investigaciones forenses en informática: Aprendiendo con el enemigo

Parafraseando a Ackoff (pág. 159), tenemos que "los problemas complejos (entendiendo éstos como la falta de variedad requerida por un observador para comprender el fenómeno en estudio) no tienen soluciones simples, sólo mentes simplistas que piensan que sí las tienen". En este contexto, la complejidad que exhibe las estrategias anti-forenses exige de todos los participantes una reflexión profunda para avanzar en una integración de las mismas en las prácticas forenses actuales.

Repensar la práctica de la computación forense exige altos compromisos de investigación y desarrollo tanto de la academia como de la industria, que de manera conjunta utilicen lo mejor de sus recursos para afinar las herramientas forenses informáticas disponibles frente a los retos actuales e iniciar el desarrollo de aplicaciones forenses que apliquen heurísticas, semejantes a las que están disponibles en los sistemas antivirus, que permitan advertir posibles usos de métodos anti-forenses en los medios investigados.

De igual forma, se requiere que la administración de justicia y los entes de policía judicial, avancen de manera coordinada con el legislador, para entrar en una dinámica de entrenamiento técnico y ajuste de las regulaciones que permita tanto a los investigadores de campo como a las organizaciones, construir marcos de acción que sean confiables y válidos tanto desde el punto de vista jurídico como tecnológico. Es importante anotar, que la integración de la tecnología y el ordenamiento jurídico, es un proceso que exige desaprender de lo que conocemos, para abrir la mente hacia las posibilidades y limitaciones que brindan los nuevos desarrollos tecnológicos, así como, aprovecharnos de lo expuesto en las regulaciones actuales, para potenciar los procedimientos tecnológicos actuales y futuros.

Repensar las investigaciones forenses, implica estudiar y analizar los vectores de ataques y tendencias en inseguridad informática presentes en las infraestructuras computacionales y aplicaciones, para seguirles la pista a los atacantes y sus estrategias, de tal forma que se pueda incorporar nuevas distinciones de análisis en los procesos forenses que se adelanten.

No podemos crecer en la práctica y en el mejoramiento de los informes de pericias forenses en informática sin evidenciar la fuente misma de las investigaciones: las fallas o problemas. Bien dice Ackoff (ACKOFF, R y ADDISON, H. 2007, pág.21) que el futuro estará mejor fundado si lo consideramos en función de las posibilidades y no de las probabilidades.

Reflexiones finales

Se dice que: "la mejor forma de predecir el futuro, es crearlo" y para ello se requiere el concurso de cada uno de nosotros. El futuro de las investigaciones forenses está por escribirse y las estrategias anti-forenses nos ayudan a pensar en las posibilidades que tenemos para hacernos un buen futuro en esta disciplina.

Sabemos que, tarde o temprano, los atacantes o intrusos nos sorprenderán con estrategias evasivas que pondrán bajo revisión los procedimientos actuales para identificación, recolección, análisis y presentación de evidencia digital. No obstante lo anterior y sin prejuicio de los avances que se realicen para actualizar las prácticas forenses, se hace necesario un cambio de mentalidad de los investigadores: pasar de un pensamiento causal, a uno más sistémico y global, de tal manera que, considerando los nexos causales sugeridos por la evidencia, podamos construir un escenario de mayores variables y posibilidades que nos permita ir más allá de los hechos y recomendar a las organizaciones acciones que potencien su capacidad preventiva y reactiva ante los incidentes.

Las estrategias anti-forenses son condiciones necesarias para ver a través de los ojos de los intrusos y aumentar la variedad de las acciones de los investigadores en sus procedimientos, y condición (no siempre) suficiente para ver las diferentes alternativas que la imaginación de los investigadores e intrusos puede lograr para intranquilizar a los peritos informáticos en el desarrollo de un proceso de investigación forense en informática.

Explorar el terreno de las estrategias anti-forense y sus métodos asociados, es equivalente a recorrer los secretos de la creatividad: "suspender nuestras estrategias analíticas de pensamiento, para permitirnos encontrarnos, sin prejuicios, directamente con el sistema" (SENGE, P., SCHARMER, C., JAWORSKI, J y FLOWERS, B. 2005, pág.40) y, así, dejarnos sorprender por la riqueza de sus relaciones y posibilidades.

Agradecimientos

El autor hace un especial reconocimiento a los doctores Benjamín Ramos Álvarez, Ph.D, catedrático del Departamento de Sistemas de la Universidad Carlos III de Madrid y  Jorge Ramió Aguirre, Ph.D, catedrático del Departamento de Lenguajes, Proyectos y Sistemas Informáticos - Escuela Universitaria de Informática, Universidad Politécnica de Madrid, y a la Maestra Gabriela M. Saucedo Meza, Coordinadora de Proyectos de la Universidad del Valle de Atemajac - UNIVA, México por sus valiosos comentarios y sugerencias para el desarrollo de este artículo.

Referencias

ACKOFF, R y ADDISON, H. (2007) Management F-law. How organizations really work. Triarchy Press.

AKELLA, J., KANAKAMEDALA, K. y ROBERTS, R. (2007) What’s on CIO agendas in 2007: A McKinsey Survey. The McKensey Quarterly. March. Disponible en: http://www.mckinseyquarterly.com/article_abstract_visitor.aspx?ar=1892&L2=13 (Consultado: 24/03/2007)

CANO, J. (2007) Inseguridad informática y Computación anti-forense. Dos conceptos emergentes en seguridad informática. Disponible en: http://www.virusprot.com/computaci%F3n-anti-forense.htm (Consultado: 24/03/2007)

CANO, J. (2007b) Administrando la confidencialidad de la información: Algunas consideraciones sobre el saneamiento de medios de almacenamiento. Disponible en: http://www.criptored.upm.es Sección Docencia.

CASEY, E. (2002) Practical approaches to recovering encrypted digital evidence. Proceedings of Digital Forensic Research Workshop 2005. Disponible en: http://www.dfrws.org/2002/papers/Papers/Eoghan_Casey.pdf (Consultado: 24/03/2007)

CASEY, E. (2006) Investigating Sophisticated security breaches. Communications of ACM. Vol.49. No.2. Febrero. Pp 48-54. Disponible en: http://www.strozllc.com/docs/pdf/Casey-CACM-Sophisticated-Intruders.pdf (Consultado: 25/03/2007)

DAVIS, C., PHILIPP, A. y COWEN, D. (2005)  Hacking Exposed. Computer Forensics. McGraw-Hill.

ECKSTEIN, K y JAHNKE, M. (2005) Data hiding in journaling file systems. Proceedings of Digital Forensic Research Workshop 2005. Disponible en: http://www.dfrws.org/2005/proceedings/eckstein_journal.pdf (Consultado: 24/03/2007)

EILAM, E. (2005) Reversing. Secrets of reverse engineering. John Wiley & Sons.

GARFINKEL, S. (2003) Remembrance of Data Passed: A Study of Disk Sanitization Practices. IEEE Security & Privacy. January/February. Disponible en: http://www.simson.net/clips/academic/2003.IEEE.DiskDriveForensics.pdf  (Consultado: 24/03/2007)

GARFINKEL, S. (2007) Anti-Forensics: Techniques, Detection and Countermeasures. Proceeding of The 2nd International Conference on i-Warfare and Security (ICIW), Naval Postgraduate School, Monterey, CA, March 8-9. Disponible en: http://www.simson.net/clips/academic/2007.ICIOW.AntiForensics.pdf (Consultado: 24/03/2007)

HARRIS, R. (2006) Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. Digital Investigation. Pp 44-49. Disponible: http://www.dfrws.org/2006/proceedings/6-Harris.pdf (Consultado: 24/03/2007)

HOGLUND, G y BUTLER, J. (2006) Subverting the windows kernel. Rootkits. Addison Wesley.

HONEYNET PROJECT (2004) Know your enemy. Learning about security threads. Addison Wesley.

IEONG, R. (2006) FORZA - Digital Forensics Investigation Framework That Incorporate Legal Issues. Proceedings of Digital Forensic Research Workshop 2006. Disponible en: http://www.dfrws.org/2006/proceedings/4-Ieong.pdf (Consultado: 25/03/2007)

KOVACICH, G y BONI, W. (2000) High-technology crime investigator’s handbook. Working in the global information environment. Butterworth Heinemann.

PAN, L. y BATTEN, L. (2005) Reproducibility of Digital Evidence in Forensic Investigations. Proceedings of Digital Forensic Research Workshop 2005. Disponible en: http://www.dfrws.org/2005/proceedings/pan_reproducibility.pdf (Consultado: 24/03/2007)

PEIKARI, C y CHUVAKIN, A. (2004) Security warrior. O’Reilly.

RUIU, D. (2006) Learning from information security history. IEEE Security & Privacy. January/February.

SCHNEIER, B. (2003) Beyond fear. Thinking sensible about security in an uncertain world. Copernicus Books.

SENGE, P., SCHARMER, C., JAWORSKI, J y FLOWERS, B. (2005) Presence. Exploring profound change in people, organizations and society. Currency Doubleday.

SIEFFER, M., FORBE, R., GREEN, C., POPYACK, L. y BLAKE, T. (2004) Stego intrusion detection system. Proceedings of Digital Forensic Research Workshop 2004. Disponible en: http://www.dfrws.org/2004/bios/day3/D3-Sieffert-SIDS.pdf (Consultado: 24/03/2007)

En la red:

Herramientas forenses y anti-forenses - http://www.forensicswiki.org/wiki/Tools#Anti-forensics_Tools

Investigación forense de sistemas Linux - http://loquefaltaba.com/documentacion/forense/index.html (Consultado: 24/03/2007)

Forensic examination of digital evidence: A guide for law enforcement - http://www.ncjrs.gov/pdffiles1/nij/199408.pdf (Consultado: 24/03/2007)

La era dorada del Hacking - http://www.infoworld.com/articles/hn/xml/02/10/25/021025hngoldenage.html  (Consultado: 25/03/2007)

Country: 
Editor notes: