"La ofensiva forense es una técnica de ataque que se utiliza para capturar datos no estáticos útiles para realizar nuevos ataques", dice Joe Sremack, principal investigador de Berkeley Research Group, LLC.

En un procedimiento de forense ofensivo, el cracker captura de manera no estática la memoria de datos para adquirir las contraseñas, llaves de cifrado o datos de sesión de redes activas que se encuentren alojadas. Los datos pueden ayudarlo a obtener acceso sin restricción a otra información más preciada.

Para ilustrar un ejemplo sencillo, un ataque forense ofensivo es el que capta el portapapeles de Windows, un lugar donde a menudo los usuarios que son menos conocedores copian y pegan sus contraseñas. Los crackers suelen montar este tipo de ataques a través de vulnerabilidades de Flash.

"Existen exploits que leen a través de plugins Flash en los navegadores y, en combinación con configuraciones débiles, pueden leer el contenido completo del navegador, incluyendo contraseñas en memoria", dice Sremack.

La conciencia es el primer paso en defensa de engaños y técnicas forenses ofensivas; tomar acciones es el segundo paso.

Los atacantes utilizan las ofensivas forenses para obtener credenciales como nombres de usuario y contraseñas que les permiten acceder a los datos confidenciales al tiempo que ocultan su identidad, estos ataques retrasan el descubrimiento de su ataque y además, cubren sus huellas.

"Ellos también quieren prolongar el tiempo que tienen acceso a un sistema y el tiempo en que los datos robados no se detectan, lo que aumenta su valor", dice Scott Hazdra, consultor principal de seguridad de Neohapsis, una empresa de seguridad y gestión de riesgos.

Los atacantes buscan este tipo de datos dinámicos y no estáticos en alguna forma semipermanente en las memorias, por ejemplo en RAM o en el archivo swap.

"Un archivo de Windows Temp, un bloc de notas de Windows o Mac, los datos de inicio de sesión sin cifrar de un Telnet o una aplicación FTP y el caché de los navegadores web son todos destinos de datos no estáticos", dice Sremack.

Una vez que se obtiene el identificador de usuarios y contraseñas, pueden ser almacenados temporalmente en texto claro, por lo que pueden llegar al siguiente nivel de acceso, alcanzando recursos como sitios internos en la Intranet, sistemas de gestión de documentos y sitios de SharePoint, explica Sremack.