Blog bem humorado, na Lingua Portuguesa, destinado a assuntos de Segurança de Informações com ênfase em Resposta a Incidentes e Forense/Investigação Computacional.
domingo, 30 de março de 2008
Ajudinha em Perícia de Gravações
Pensando nisso, estava verificando que muitas vezes uma gravação de áudio é usada em juízo como prova. Em alguns casos, o conteúdo é questionado e pede-se a perícia da gravação, a fim de determinar sua autenticidade e integridade. Acontece que o MP3 player vem, já há algum tempo, substituindo aqueles gravadores pequenos nessas gravações. Esse fato pode ajudar na perícia porque, além dos resultados da análise do perito, temos agora pelo menos mais um artefato a considerar no estudo da integridade e autenticidade da evidência.
O fato é que a tecnologia comum usada nesses MP3 players é a de gerar um arquivo .WAV com baixa "resolução" de som, ou seja, com uma taxa de amostragem baixa. Com isso, o som digitalizado não fica um primor de qualidade, mas dá para o gasto e usa pouco espaço de armazenamento. O pulo do gato está justamente aqui: armazenamento.
Um MP3 player tem, em sua maioria, um dispositivo de memória muito parecido com o de um pen drive. Na maioria das vezes, há uma mídia formatada com FAT. O arquivo gerado, como qualquer outro arquivo em um Sistema de Arquivos FAT, possui MAC times, ou seja, possui registro das datas de criação, modificação e último acesso. O ponto aqui é que um aparelho MP3 não registra horas, já que não tem um relógio. Para simplificar, percebi que as gravações são colocadas em um diretório criado de fábrica. Ao armazenar a gravação em um .WAV, esse arquivo recebe as mesmas MAC times do diretório, o que significa que um ponto a pesquisar será o fato de que a MAC time do arquivo terá de estar necessariamente idêntica ao do diretório criado. Se tudo estiver certinho, todo o diretório terá arquivos .WAV com mesmas MAC times. Se o arquivo tiver datas de ultima modificação diferente dos demais, pode ser indicativo de manipulação. Datas diferentes para último acesso podem indicar que o arquivo foi acessado por fora do MP3 player.
O meu MP3 player, um Sandisk de 512 Mb, cria um diretorio VOICES para armazenar as gravações e todas as MAC times estão refletindo as MAC times desse diretório. Você gostaria de compartilhar dados de algum dispositivo MP3 ?
Até o próximo post !
Forense no CNASI
Precisamos de mais eventos que abordem e divulguem a Forense Computacional. Tive o cuidado de perceber que, nas três palestras que abordaram o assunto, a sala estava completamente lotada, prova de que o assunto tem bastante interessados.
Alguém mais esteve por lá e gostaria de comentar ?
Até o próximo post !
domingo, 2 de março de 2008
Live CDs
Helix | FCCU | FDTK | |
Versão atual | 1.9a | 12 | 1.0 |
Base do SO | Knoppix | Debian | Ubuntu |
Uso em Windows | Sim | Não | Não |
Aquisição GUI | Linen | ||
Adepto | |||
Air | Air | Air | |
GuyMager | |||
Aquisição CLI | SDD | sdd | sdd |
dd | dd | dd | |
dcfldd | dcfldd | dcfldd | |
rdd | rdd | ||
dd_rescue | dd_rescue | dd_rescue | |
dd_rhelp | dd_rhelp | dd_rhelp | |
dds2tar | |||
Análise e investigação | SleuthKit | SleuthKit | SleuthKit |
PyFLAG | PyFLAG | ||
Autopsy | Autopsy | Autopsy | |
Faust | |||
Allin1 | |||
Timeline | mac-robber | mac-robber | |
mac_grab | |||
Debugging | Fenris | ||
Limpeza de arquivos | wipe | wipe | wipe |
Carving | foremost | foremost | foremost |
Scalpel | Scalpel | ||
magicrescue | magicrescue | magicrescue | |
Recuperação | fatback | fatback | fatback |
e2recover | |||
testdisk | testdisk | testdisk | |
NTFSTools | |||
Scrounge-NTFS | |||
e2undel | e2undel | e2undel | |
recover | recover | ||
e2retrieve | |||
myrescue | |||
recoverdm | |||
safecopy | |||
setmax | setmax | ||
disktype | disktype | disktype | |
hash | md5deep | md5deep | md5deep |
sha1deep | sha1deep | sha1deep | |
2hash | |||
ssdeep | ssdeep | ||
Análise de Internet | Pasco | Pasco | Pasco |
Galleta | Galleta | Galleta | |
mork.pl | mork.pl | ||
cookie_cruncher.pl | cookie_cruncher.pl | ||
browser-history-viewer | |||
Arquivos windows | Rifiuti | Rifiuti | Rifiuti |
GrokEvt | |||
dumpster_dive.pl | |||
antiword | antiword | ||
mdbtools | mdbtools | ||
tnef | tnef | tnef | |
fccu-docprop | fccu-docprop | ||
fccu.evtreader | fccu.evtreader | ||
clit | |||
SlackSpace | Bmap | ||
Snapshot | Ftimes | Ftimes | |
Antivirus | chkrootkit | chkrootkit | chkrootkit |
rkhunter | rkhunter | rkhunter | |
F-Prot | |||
Clamav | Clamav | ||
Análise de Rede | ChaosReader | ||
tcpxtract | tcpxtract | tcpxtract | |
ngrep | |||
netwox | |||
tcpick | |||
tcptrack | |||
tcpflow | |||
netdude | |||
dsniff | |||
hunt | |||
snifit | |||
ethercap | |||
driftnet | |||
karpski | |||
nast | |||
scapy | |||
chatsniff | |||
msn-capture | |||
imsniff | |||
darkstat | |||
prismstumbler | |||
Hardware | lshw | lshw | lshw |
discover | discover | ||
scsitools | |||
scsiadd | |||
blktool | |||
Logs | logsh | ||
logfinder | |||
Busca por textos | Glimpse | ||
glark | glark | ||
sgrep | |||
Esteganografia | Outguess | Outguess | Outguess |
stegdetect | stegdetect | stegdetect | |
Análise de Registry | regviewer | ||
Reglookup | |||
Senhas | Chntpw | Chntpw | Chntpw |
cmospwd | |||
pwl | |||
john theripper | john the ripper | ||
lcrack | |||
crack | |||
samdump | |||
bkhive | |||
pgpcrack | |||
nasty | |||
fcrackzip | fcrackzip | ||
medussa | medussa | ||
hydra | |||
E-mail | grepmail | ||
readpst | readpst | readpst | |
ripole | |||
eindeutig | eindeutig | ||
Análise de Figuras/Fotos | Retriever | ||
Vinetto | Vinetto | ||
recoverjpeg | recoverjpeg | ||
FBI | FBI | ||
exiftags | exiftags | ||
exif | exif | ||
metacam | |||
jhead | jhead | ||
dcraw | dcraw | ||
jpeginfo | jpeginfo | ||
RecoverPhotos | |||
exifprobe | exifprobe | ||
FTP | lftp | lftp | lftp |
Criptografia | truecrypt | ||
cryptcat | cryptcat | cryptcat | |
bcrypt | bcrypt | ||
ccrypt | ccrypt | ||
Compressão de arquivos | lzop | lzop | lzop |
gzrecover | gzrecover | ||
zoo | zoo | ||
p7zip | p7zip | ||
orange | orange | ||
spantape | |||
unshield | unshield | ||
unrar | unrar | unrar | |
unace | unace | ||
mscompress | mscompress | ||
star | star | ||
nomarch | |||
Formatos de imagens | libewf | libewf | libewf |
mount-ewf | mount-ewf | ||
afflib | afflib | afflib | |
Análise de memória | ptfinder | ||
MetlStorm firewire | |||
Honeypot | Amun | ||
Análise de Malware | nephentes | nephentes | |
mwcollect |
Comentários ?
Até o próximo post !
Ata Notarial em parábolas ...
Você tem um filho e um sobrinho que estão discutindo na frente do vídeo game, quando você chega em casa, depois do trabalho. A gritaria toda entre os dois é porque cada um diz ser a própria vez de jogar com o melhor controle. Joãozinho diz que Zezinho usou o melhor controle muito mais do que ele durante o dia, enquanto Zezinho diz que estava compensando porque no dia anterior tiveram de ir dormir mais cedo e ele foi prejudicado.
Você, cansado, olha para um e para o outro e não tem a menor idéia de quem está correto, simplesmente porque cada um deles parece ter razão. Então, a sua esposa passa e você imagina: "posso perguntar a ela, já que ela deve ter visto...". Você interrompe os passos quando já estava indo na direção dela, simplesmente porque percebe que ela poderia ser tendenciosa, afinal, ela pode ter visto mas Joãozinho se trata do filhinho querido ... Como você não quer ter problemas com sua irmã, a dúvida continua.
Repentinamente, sua mãe aparece com sua caneca favorita de chá e três biscoitos daqueles de água e sal, indo em direção a varanda. Você percebe que está salvo, já que ela, apesar de não entender nada de videogame nem controle, também esteve de olho nos moleques e pode dizer: O Joãozinho usou esse grandão bacana aqui o dia todo ! Você sabe que o que ela disse é confiável, afinal, ambos são netos. Você então decide quem joga, fica tranquilo e sua noite segue em paz ...
A avó da história é o Tabelião. A Ata Notarial é uma espécie de descrição de tudo que ele viu acontecendo na frente dele.
Processos onde perícias são exigidas vão levantar questões de ambas as partes; Em alguns momentos, o que for alegado com base na análise forense realizada será questionado quanto a sua veracidade, integridade, etc. A quem o Juiz vai dar crédito ? Em alguém que ele pode confiar como isento nesse processo. Alguém que tem fé pública. Esse alguém é o Tabelião, e a Ata Notarial é o documento que vai atestar para o Juiz o que aconteceu. Baseado nisso, ele pode realizar melhor o seu julgamento.
Até o próximo post !