sexta-feira, 31 de julho de 2009

Forense de Registry

A atividade investigativa em meio digital, apesar de complexa, pode ser resumida ao trabalho de descobrir vestígios que possam corroborar ou negar determinada tese. Com isso, precisamos conhecer cada vestígio possível de ser encontrado, dada uma ação qualquer realizada. Esse princípio é o mesmo em todos os tipos de perícia. No fim das contas, estamos olhando para os "efeitos" a fim de determinar as "causas".

Mina de Ouro

Um excelente local para se localizar artefatos (vestígios) é o Registry. Esse banco de dados de configurações apareceu pela primeira vez no mundo Windows com o Windows 95. A proposta dele era eliminar milhares de arquivos .ini, cada um acompanhando determinado programa. O Registry tem uma estrutura interna de banco de dados mesmo, conhecida como structured storage, e não simplesmente um arquivo de texto comum. Ele não é apenas um arquivo simples, mas um grupo deles, que pode ser verificado em conjunto em uma estrutura indentada, conhecida como hives. Não vou entrar em detalhes sobre essa estrutura, pois não caberia em um artigo desses, mas vale dizer que o Registry foi pensado para ser um repositório de configurações, não apenas do próprio Windows, mas também servindo aos programas de terceiros. Por que estamos falando tanto desse Registry, então ? Porque ele é uma mina de ouro para Investigadores Digitais.

É possível resgatar todo o tipo de informação de um Registry. Além de inserir vários pontos de controle do próprio Windows, a Microsoft nos fez o favor de dar às entradas do Registry um timestamp; ou seja, as chaves possuem data/hora da última modificação. Esse ponto, por si só, já nos permite conhecer um timeline das atividades de configuração da máquina, e em muitos casos, correlacionar dados com outros, buscados nas demais fontes de vestígios de um computador.

Forense de Registry

O Registry tem se tornado tão importante para a Computação Forense que há um perito especializado nesse tema, e depois de lançar ótimos livros sobre Forense Computacional em geral, está pesquisando a possibilidade de lançar um livro só sobre Registry. Harlan Carvey, já citado por mim aqui no blog algumas dezenas de vezes, estuda bastante o assunto e criou um programa para operar na extração (consequentemente, ajudando na análise) dos dados do registry. O RegRipper atua sobre um arquivo específico que compoe o registry e faz as extrações das informações, listando-as de maneira clara. Você pode estar se perguntando por que isso é melhor do que o RegEdit, do próprio Windows. Bem, isso é melhor porque:
  • O RegEdit só funciona em uma Live Analysis, enquanto que o RegRipper funciona em DeadAnalysis também
  • O RegEdit é um browser da estrutura. Se ele achar um valor com uma string binária contendo o numero 1, ele vai exibir 1 para aquele valor, enquanto que o RegRipper vai exibir exatamente o que o "1" significa naquele contexto. Por exemplo, o "1" pode significar "Instalação Default" ou "Inativo" ...
  • O RegEdit não faz parsing das estruturas armazenadas no registry; Ou seja, se houver um valor binário lá, ele vai mostrar um conjunto de dados completamente sem sentido. O RegRipper exibirá os dados todos traduzidos, de acordo com a sua estrutura.
  • O RegEdit é um programa único que só faz a exibição dos dados. O RegRipper é extensível, aceita plugins que podem ser desenvolvidos por qualquer um que conheça Perl.
  • O RegEdit não mostra os timestamps das chaves, o RegRipper as mostra e pode auxiliar na montagem de um timeline delas.
  • O RegEdit exibe valores criptografados como estão, o RegRipper os descriptografa (casos onde os valores são gravados pelo Windows em ROT-13)

Já está bom ?

Além disso tudo, o RegRipper é de graça e "conversa" muito bem com o F-Response, podendo ser usado em Live Analysis por conta disso.

Como se isso não bastasse, recentemente o Harlan publicou um novo programa no site do RegRipper: O RegXP. Esse utilitário serve para analisar os arquivos de Registry que são encontrados no System Restore. Vamos falar disso mais adiante, mas a idéia é que o RegXP possa fazer uma análise em conjunto de cada arquivo de Registry localizado nos System Restore da máquina. É um comparativo que pode indicar muito do que foi feito na máquina.

Alguém já usou a ferramenta e quer compartilhar suas impressões ? Comente !

Até o próximo post !

quinta-feira, 30 de julho de 2009

Helix 2009R1

Revisar um Live CD sem ter acesso à documentação é uma tarefa um tanto quanto complicada. Toda a documentação disponibilizada pela eFense fica no Forum, e é uma área limitada a quem tem uma conta ($$$).
Assim, baseado única e exclusivamente em algumas navegações e testes, percebi que:
- O SleuthKit foi atualizado para a versão 3.0.0 e foi compilado para aceitar imagens EWF e AFF, além do raw e split raw, já aceitos na última versão.
- O trueCrypt teve sua versão atualizada
- O utilitário de Slackspace BMap está nesta versão
- Os utilitários de compactação unrar e unace foram adicionados
- Há uma indicação em um dos textos do site de que um erro envolvendo mount de swap foi corrigido.

É provável que muitos dos utilitários existentes tenham recebido atualização de versão, mas não consegui confirmar. Tão logo seja possível, vou verificar a parte de Resposta a Incidentes em Windows.

Alguém gostaria de acrescentar algo que percebeu na nova versão do Helix ? Comente !

Até o próximo post !

segunda-feira, 27 de julho de 2009

US Cyber Challenge

O governo americano lançou um programa estratégico bastante interessante, destinado a formar experts nas áreas que lutam contra o cyber crime. De acordo com o site da SANS, o programa vai dar a esses jovens americanos educação avançada e exercícios, além de reconhecimento apropriado. O programa chama-se US Cyber Challenge e já inclui três das mais famosas challenges americanas: CyberPatriot Defense Competition, DC3 Digital Forensics Challenge e a Netwars Capture-The-Flag Competition. Dez mil jovens serão então selecionados por essas challenges para participar de treinamentos específicos no próximo ano.
Além de uma excelente iniciativa, individualmente há prêmios para os ganhadores das challenges. Três outros pontos são o "icing on the cake" da novidade: Não há custos, é online (apenas o cyberpatriot tem a etapa final local, em Orlando) e podem ser disputadas por não-americanos.
Essa é uma boa oportunidade para que nossos Peritos e Investigadores Digitais pratiquem em um dos desafios de Computação Forense mais bem elaborados do mundo, o DC3 Digital Forensics Challenge.
A inscrição é rápida e logo em seguida você vai ganhar acesso aos arquivos, que devem ser baixados e usados nas diversas challenges. Cada uma delas é dividida em níveis: Novatos, Experientes, Especialistas e Gênios. O site do DC3 está bem documentado e indica como as respostas devem ser submetidas.

Há um outro ponto muito importante nisso tudo, fora a boa oportunidade de prática: Veja como a maturidade americana funciona bem nesse assunto. Crimes "virtuais" infelizmente chegaram para ficar. Pense apenas por um segundo, o que te parece mais fácil ? Roubar uma conta bancária, enganando idosos e distraídos, usando seu computador no conforto do quarto, ou trocar tiros com seguranças em bancos ? Se a resposta veio rápido para você, imagine que também vem para os que estão cansados de roubar bancos. O próximo ponto, depois de percebermos que daqui a alguns anos o crime virtual vai ser mais praticado do que o crime comum, é a pergunta que faz muitos silenciarem: O que estamos fazendo para trabalhar essa situação ?
Um especialista não é criado de um dia para noite. Não se estalam os dedos e se acha um Perito. Já escrevi sobre esse ponto antes, a nossa carreira leva tempo para ser estabelecida. É nisso que essa iniciativa americana é brilhante: Ela detecta, incentiva e prepara os jovens para que, quando a questão cybernética realmente ficar "pegando fogo", eles já possuam pessoas preparadas para atuar.

O que nós, brasileiros, podemos fazer a respeito ? O que nós estamos fazendo a respeito ? Você gostaria de compartilhar alguma experiência ? Comente !

Até o próximo post !

segunda-feira, 20 de julho de 2009

Retorno

Pessoal,

Depois de um bom tempo de descanso, com férias mais do que merecidas, estou de volta e com força renovada para mais um bom tempo. Tenho algumas idéias de artigos e códigos para o Byte Investigator, e pretendo colocá-las em prática o quanto antes. Recebi alguns emails nesse período, e vou gradativamente responder a cada um deles.

Bom, para não ser um artigo só de oba-oba, já vale o anúncio de que, por algum motivo, a turma da eFense mudou a estratégia e passou a dar acesso ao novo Helix. Eles estão mantendo uma linha de download no site, exigindo cadastro. O download é feito por um link temporário enviado ao email cadastrado. Junto com o email vem outros, sobre as inúmeras opções e facilidades do Helix Pro, que é uma versão mais madura do Helix Live CD que conhecemos.

Já baixei, mais ainda não tive como testá-lo. Assim que puder, colocarei aqui as minhas impressões sobre essa versão 2009 R1.

Até o próximo post !