Resposta a Incidentes e Forense Computacional

O que é o Projeto MUFFIN, afinal ?

2011-07-02T16:54:00.004-03:00

Cenário Atual

Você, CSO da empresa XYZ, está em casa. Foi dormir às duas da manhã vendo UFC, é sábado e está o maior frio lá fora. Às 3 em ponto, alguém do seu SOC liga e diz que está monitorando atividade intensa e anormal na sua rede, tem certeza absoluta que aconteceu um outbreak de malware e que provavelmente há vários servidores afetados. Vc pensa: "PUTZ, não tinha outra hora para acontecer ?". É hora de chamar o CSIRT. Todos te xingam, mas chegam à empresa conforme o marcado e a batalha começa.

Primeiro passo: Entender o que está acontecendo para planejar a CONTENÇÃO. Sua equipe precisa coletar dados voláteis de várias máquinas e analisá-los a fim de traçar estratégias. As máquinas afetadas estão ligadas e não podem ser desligadas (os dados são voláteis). O que a sua equipe tem na mão para fazer isso ? Um CD do Helix e um pendrive do CAINE, todos em várias cópias, cada um tem uma. Você orienta o time e eles partem para a batalha, iniciando pelas máquinas mais indicadas, dado o report do SOC. Nisso já são 7h e o CIO, que quase nunca apoia suas orientações, começa a ligar com o famoso "E aí ?". Sua equipe precisa coletar os dados e analisá-los o mais rapidamente.

- Em uma das máquinas, ao colocar o CD com o Helix, ela imediatamente reinicializa;
- Outra máquina tem uma versão mais antiga do SO, não roda diversos utilitários e toda a coleta fica comprometida;
- A maioria da equipe não lembra de cabeça os comandos e options necessários. Vários esquecem de capturar a memória por primeiro e muitos sequer trazem o resultado do netstat;
- Você ouve um barulho, foi um dos analistas socando a mesa porque o Antivirus não deixa de jeito nenhum ele rodar algumas ferramentas;
- Uma das máquinas tem a famosa tela azul depois da tentativa de rodar um dos programas do toolkit;
- quase todo o trabalho de coleta vai por água abaixo porque um dos pendrives retornou infectado. Como o analista estava usando Linux, não houve infecção na sua máquina, mas os resultados coletados seriam confiáveis ?

Vocês já viveram isso ??? É o que acontece na prática.

Os problemas acima acontecem, todos ou em parte, com cada um dos toolkits atualmente disponíveis como ferramenta de software livre. Dos que eu já pesquisei, o CAINE, o DEFT e o HELIX passam por essas ou outras situações onde ficam devendo. Até mesmo o COFEE, que não se encaixa na definição de software livre (apesar de ser livremente licenciado para polícias) passa por diversos problemas dos narrados acima. É exatamente nesse contexto que o projeto MUFFIN quer entrar: ser uma toolkit voltada para resposta a incidentes e que não tenha as mesmas fraquezas e os mesmos problemas desses que analisamos.

Para atingir isso, o MUFFIN será composto por 3 módulos:
- O pendrive MUFFIN, que é a toolkit propriamente dita;
- O MUFFIN Baker, uma ferramenta que permite configurar e gerar o pendrive MUFFIN;
- O MUFFIN Report, que vai acessar os dados gerados/coletados pelo pendrive MUFFIN.

O projeto já tem roadmap e escopo bem definido. Sua versão 0.1, marcada para ser apresentada no formato de procedimento, vai ao ar em breve. Em paralelo, a equipe do projeto trabalha na versão 0.2, primeira versão que vai trazer o Baker, automatizando a geração do pendrive MUFFIN.

Estamos desenvolvendo-o em Lazarus com SQLite. O Lazarus é um compilador Pascal com um ambiente muito parecido com Delphi, trazendo o beneficio de compilar o mesmo fonte em vários sistemas operacionais, incluindo Linux e o Mac OS.

Estamos precisando de colaboradores. Se você conhece de programação e pode nos ajudar, entre em contato. Se você não conhece, mas ainda assim quer ajudar no projeto, excelente. Há muito trabalho e todos são bem vindos.

Ate o proximo post !

Mensagem às Futuras Gerações de CIOs, CEOs e CSOs

2011-06-20T11:26:00.007-03:00

A onda de ataques cibernéticos que assolou o mundo recentemente, incluindo vários órgãos no Brasil, pode ser concluída em apenas uma frase: você vai ser ownado.

Ownado é um termo comum no underground de tecnologia. Quem foi ownado teve (ou ainda tem) gente com acesso aos seus dados, ao seu computador, aos seus servidores da empresa. Muitas vezes seu computador vira um escravo tecnológico, um zumbi comandado à distância para atacar e derrubar outros servidores. Mas por que você vai ser ownado ?

Entre outras coisas, porque definitivamente o ambiente digital foi reconhecido como área de guerra. Os ataques combinados dos grupos Anonymous e LulzSec sedimentaram o que já estava acontecendo em pequena escala, por um ou outro ataque em separado.

Na verdade, já tínhamos visto de tudo. Vez ou outra, tínhamos ataques derrubando grandes sites, tivemos as APTs, a operação Aurora, outras pequenas operações até que chegamos no Stuxnet e o mundo viu que o meio digital pode ser usado para sabotagem também. Esqueça tiroteios e bombas explodindo, o próximo filme do 007 vai ser filmado com um James Bond nerd não mais rodeado de mulheres maravilhosas , mas de laptops e computadores de tudo quanto é tipo, a Walther PPK dando lugar ao BackTrack ...

Depois que os militares acharam seu caminho no ciberespaço, agora foi a vez da turma que protesta. Não vou entrar no mérito da ideologia desses grupos, mas eles alegam que invadem e derrubam sites em nome da própria democracia, trazendo para o desktop e para o laptops o que antes era feito na base da gritaria e da correria. Spray de pimenta, jatos de água fria ? Nunca mais.

A questão é que, com ideologia ou não, essa turma mostrou que podem fazer estrago. Que o digam as ações da Sony, da Sega, do Citigroup ... A lista não é pequena, e vários dados roubados mostram o que é possível fazer. Eles recentemente anunciaram a paralisação do movimento, que me pareceu bastante estratégica, mas o recado foi dado. Mas por que você vai ser ownado ?

Você vai ser ownado porque a internet não é nem nunca foi a Disneylandia, embora você sempre a visse assim. Esses grupos não fizeram uma sequência de ataques, eles abriram uma nova era que não vai perdoar a forma como a Internet e a Segurança de Informações é tratada nas empresas. Esse vai ser o formato padrão de protestos daqui por diante. Se no passado o consumidor insatisfeito tinha que recorrer à Justiça, hoje ele indica o site da empresa a um grupo cracker, para que o derrubem. Políticos corruptos enfrentando jornalistas ? Coisa do passado, agora os dados deles vão parar na Web em letras grandes e em negrito. Mas por que você, logo você, vai ser ownado ?

A resposta é ainda maior do que o feito por esses grupos (não deve demorar até que sejam chamados de radicais ou recebam novos labels). Você vai ser ownado porque não consegue enxergar o que esta por trás do novo mundo digital; porque reveste seus carros com blindagens caríssimas, mas seus servidores estão completamente desprotegidos; porque você não trata os riscos mapeados, mas vive escondendo o que deveria ser feito, trocando ações reais por paleativos na única tentativa de mostrar para os agentes reguladores que você está protegendo a informação, sem mesmo sequer acreditar nem um minuto nisso.

Você vai ser ownado porque acha mais fácil enganar os auditores do que efetuar as práticas recomendadas; porque você prefere pagar alguns milhares de reais em caixinhas milagrosas para segurança a realmente implementar medidas que eduquem seus profissionais e colaboradores.

Você vai ser ownado porque sua senha, além de ridiculamente previsível, é de conhecimento de todos os que te rodeiam; porque você olha para todos os lados ao atravessar uma rua, mas não consegue perceber que o email que te mandaram está incoerente demais para ter vindo de um banco, e que você nem ao menos uma conta nesse banco tem, e nem assim você deixa de clicar no link dele; você nunca falou de sua vida para estranhos, mas põe todos os detalhes de sua vida nas redes sociais e fica postando para todo mundo ler onde você está, onde você costuma frequentar ou onde você estuda, e é por isso que você vai ser ownado.

Você vai ser ownado porque você finge que cobra o que a sua área de Segurança de Informações determina, mas você nem ao menos acredita na maioria dos controles que lá estão; porque você nunca banca atrasos no desenvolvimento dos softwares quando sua equipe o testa e comprova que a maioria dos requisitos de Segurança de Informações não foram cumpridos; Não, o prazo tem que ser cumprido e, depois, quando der, a equipe ajusta o que tiver de ser ajustado. Você lê sobre como se proteger no trânsito e envia dicas de direção segura para seus amigos, mas acha que bom senso é o único ingrediente necessário para não ter um "problema digital" e por isso mesmo as palestras de conscientização só servem para outros, nunca para você; Por isso, você será ownado.

Você vai ser ownado porque suas máquinas recebem correções de segurança completamente fora do prazo avaliado, isso quando recebem, só porque você nunca acreditou nos impactos descritos nos alertas de segurança; Você acha que antivirus e IDS são mais do que suficientes para se proteger e dorme tranquilo depois de usar seu laptop que não foi hardenizado como os demais da empresa, já que você é um executivo importante e quer fazer o que bem entende na sua máquina; não se engane, você vai ser ownado durante o seu sono tranquilo. Vai ser ownado e exposto por ter desligado a criptografia e a autenticação de sua máquina, reclamando que colocar uma senha ou carregar um token é um grande exagero e sem nenhuma necessidade "de negócio".

Essa é apenas uma pequena e modesta lista de explicações dos resultados que virão. Talvez você, CIO ou CEO, leia isso aqui e se sensibilize; provavelmente e infelizmente, isso não ocorrerá.

É fato que na nossa cultura processos só melhoram depois que problemas acontecem; providências só são tomadas depois que "o leite é derramado". Por isso, lamentavelmente o recado "não seja ownado" só valerá para as próximas gerações. A geração atual de CIOs e CEOs talvez não queira ouvir, e essa geração de CSOs, a que está aí correndo e lutando para ser ouvida, vai ser retirada de cena depois do primeiro ataque com estragos consideráveis. Os responsáveis das áreas de Segurança de Informações serão demitidos, surgirão notas dizendo que nada aconteceu, a sujeira vai aos poucos ser varrida para baixo do tapete e a nova área provavelmente ganhará, enfim, mais atenção.

Talvez então, e só então, CIOs e CEOs escutem mais e façam o que deve ser feito para não serem ownados.

Até o próximo post !

Boa Notícia 2

2011-06-07T13:05:00.004-03:00

Mais uma boa notícia: O paper sobre o MUFFIN também foi aceito na Vale Security Conference, que vai acontecer em São José dos Campos, nos dias 3 e 4 de setembro no Parque Tecnológico de SJC.

O ValeSecConf traz um grupo de palestrantes de peso para essa primeira edição (e que também é a primeira conferencia desse porte na região). Teremos InfoSec, PenTesting, Vulnerabilidades, Direito Digital e Computação Forense. O trio da Bagunça Carioca, formado pelo Fernando Mercês, Nelson Brito e eu, estará reunido lá, novamente depois de ter detonado no WebSecForum. Apareça para um refrigerante (não consumo álcool, tenho esse defeito ... ;)

Abaixo, a lista completa dos palestrantes. Inscrições estão abertas !

Palestrante	Palestra
Alexandro Silva	Aplicando melhorias de segurança no JBossAS
Anchises M.G. de Paula
Andrew Cushman	New strategies to combat evolving security threats based on Microsoft products and security responses
Dr. Coriolano Camargo	As múltiplas faces dos crimes de alta tecnologia
Dr. Emerson Wendt	Infiltração Policial na Internet
Ewerson Guimarães (Crash)	Técnicas de Intrusão (Ferramentas Open Source)
Fernando Mercês	Construindo um analisador de executáveis PE
Igor Alcantara	Codificação Segura
Joe McCray	You Spent All That Money And You Still Got Owned????
Luiz Eduardo	Global Security Report - Trustwave
Nelson Brito	Inception: Tips and tricks about reversing vulnerabilities!
Rafael Soares Ferreira	Metasploit Framework: A Lightsaber for Pentesters
Rener Alberto (Gr1nch)	SQL Injection - Pwning a Windows Box!!!
Rodrigo Rubira Branco	Behind the Scenes: Security Research
Thiago Bordini	Exploit code injection in CMS Systems
Tony Rodrigues	Projeto MUFFIN de Resposta a Incidentes - Uma receita para causar indigestão nos malwares
Wagner Elias	Você confia nas aplicações desenvolvidas para sistemas operacionais mobile?

Boa notícia 1

2011-06-06T12:51:00.000-03:00

Boa notícia: O paper sobre o MUFFIN foi aceito na VI SegInfo, que vai acontecer no Rio de Janeiro, nos dias 12 e 13 de agosto no prédio da Bolsa de Valores do RJ.

O VI SegInfo vai contar com palestras bastante diversificadas. Além das palestras voltadas para InfoSec, teremos Direito Digital e Computação Forense (eu e meu camarada Sandro Suffert). Ótima oportunidade de aprender mais e encontrar bons amigos, agora na Cidade Maravilhosa. Além das palestras, haverá War Games e Treinamentos.

Abaixo, a lista completa dos palestrantes. Inscrições estão abertas !

Mini-currículo dos palestrantes da sexta edição do Evento

Alexandro Silva
a
Palestra: Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
a

Atua na área de TI a mais de 10 anos com experiência em segurança de redes e sistemas Unix, atualmente responsável pela segurança de servidores e sites em um datacenter, professor em cursos de pós-graduação em Segurança da Informação e atuando também como consultor independente especialista em segurança de perímetro e profundidade, segurança de sistemas Web, análise de vulnerabilidade, sistemas de prevenção e detecção de intrusão.

Helen Sardenberg
a
Palestra:
a

Delegada da Delegacia de Repressão a Crimes de Informática da Polícia Civil do Estado do Rio de Janeiro

Delegada da Delegacia de Repressão aos Crimes de Informática (DRCI) da Polícia Civil do Rio, é bacharel em Direito pela PUC-RJ, pós-graduada em Direito Público e Privado pela Universidade Estácio de Sá e ex-aluna da Escola da Magistratura do Rio de Janeiro.

Jordan Bonagura
a
Palestra: A Miopia do CSO
a

Pesquisador Independente

- Graduado em Ciências da computação;
- Pós-Graduado em Gestão Estratégica de Negócios, Inovação e Empreendedorismo, e Docência;
- Consultor e Pesquisador na área de Segurança da Informação;
- Docente na área de Tecnologia da Informação;
- Membro do Grupo do Projeto GNSS no INPE (Instituto Nacional de Pesquisas Espaciais);
- Chairman do Grupo Stay Safe (Podcast e Revista);
- Diretor da CSA (Cloud Security Alliance) – Chapter Brasil;
- Membro da Comissão de Crimes de Alta Tecnologia da OAB – SP.
- Certified Ethical Hacker
- Palestrante em eventos de segurança da informação

Lucas de Carvalho Ferreira
a
Palestra: Segurança na web: Uma janela de oportunidades
a

Líder do Capítulo do OWASP em Brasília

É Mestre em Ciência da Computação pela Unicamp e tem mais de 15 anos de experiência na área de segurança da informação. Com experiência tanto na área pública quanto em empresas privadas, já atuou em projetos desde segurança de redes até gestão de segurança da informação. Nos últimos anos tem se interessado por temas ligados a segurança no desenvolvimento de software, o que levou ao seu envolvimento com o projeto OWASP, uma comunidade aberta focada em aumentar a segurança no desenvolvimento de sistemas. Atualmente é líder do Capítulo do OWASP em Brasília e membro de seu comitê global de conferências.

Nelson Brito
a
Palestra: ENG++: Permutation Oriented Programming
a

Nelson Brito is just another Security Researcher Enthusiast, who has an addiction of playing with computer systems’ (in)security and lives in a wonderful city: Rio de Janeiro.

Besides, he has been a regular security conference speaker, such as: IME Cryptology Week (2000/2001), CNASI (2000/2004/2005), CONIP (2004), SERPRO TIC (2006), ITA SSI (2006), H2HC (2006/2009/2010), FEBRABAN CIAB Workshop (2009), Web Security Forum (2011), PH-Neutral (2011), etc.

By the way, Nelson Brito is the author of:

Rafael Soares Ferreira
a
Palestra: War Games – Preparação para equipes de TI
a

Sócio-Diretor técnico do Grupo Clavis Segurança da Informação

É Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web, Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.

Tem especial interesse nas seguintes áreas:

Análise forense computacional;
Detecção e resposta a incidentes de segurança;
Testes de invasão e auditorias de rede, sistemas e aplicações.

Raphael Mandarino
a
Palestra:
a

Diretor-geral do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional (GSI) da Presidência da República

Diretor-geral do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional (GSI) da Presidência da República. Formado em Matemática, completou sua formação com diversos cursos de especialização no Brasil e no exterior. Com mais de 30 anos de experiência ocupando diversos cargos técnicos e diretivos, Mandarino hoje comanda o órgão do Governo Federal responsável por Segurança da Informação, além de coordenar o Comitê Gestor da Segurança da Informação, órgão do Conselho de Defesa Nacional, e participar como membro do Comitê Gestor da Infra-Estrutura de Chaves Públicas do Brasil.

Renato Opice Blum
a
Palestra: Riscos legais e a posição dos tribunais
a

CEO da Opice Blum Advogados Associados

- Advogado e economista;
- Coordenador do curso de MBA em Direito Eletrônico da Escola Paulista de Direito;
- Professor da Fundação Getúlio Vargas, USP (PECE), Universidade Presbiteriana Mackenzie;
- Professor colaborador da parceria ITA-Stefanini;
- Árbitro da FGV e da Câmara de Mediação e Arbitragem de São Paulo (FIESP);
- Presidente do Conselho Superior de Tecnologia da Informação da Federação do Comércio/SP e do Comitê de Direito da Tecnologia da AMCHAM;
- Membro da Comissão de Direito da Sociedade da Informação – OAB/SP;
- Ex-Vice-Presidente do Comitê sobre Crimes Eletrônicos – OAB/SP;
- Conselheiro da Comissão de Crimes de Alta Tecnologia – OAB/SP
- Palestras Internacionais: Global Privacy Summit 2010 (International Association of Privacy Professionals), Washington, DC, USA;
73ª Conferência da International Law Association; ISSA International Conference 2010 – Connect & Collaborate – (Information Systems Security Association), Atlanta, GA, USA; HTCIA International Conference 2010 (High Technology Crime Investigation Association), Atlanta, GA, USA; Inter American Bar Association: Reunión del Consejo y Seminario 2010 (Contratos Modernos de Cara a las Nuevas Relaciones Comerciales), São José, Costa Rica; Participante Convidado no The Sedona Conference 2010, Washington, DC, USA
- Coordenador e co-autor do livro “Manual de Direito Eletrônico e Internet”;
- Sócio – CEO do Opice Blum Advogados www.opiceblum.com.br
Currículo Plataforma Lattes: http://lattes.cnpq.br/0816796365650938

Rodrigo Rubira Branco (BSDaemon)
a
Palestra: Automated Malware Analysis
a

Director of Vulnerability & Malware Research, Qualys

Is the founder of the Dissect || PE Project, funded by Qualys. As the Chief Security Research in Check Point he founded the Vulnerability Discovery Team (VDT) and released dozens of vulnerabilities in many important software. Previous to that, he worked as Senior Vulnerability Researcher in Coseinc. He is a member of the RISE Security Group and is the organizer of Hackers to Hackers Conference (H2HC), the oldest and biggest security research conference in Latin America.

Sandro Süffert
a
Palestra:
a

CTO da Techbiz Forense Digital

- Chief Technology Officer (CTO) da Techbiz Forense Digital (3 anos)
- Professor convidado do Mestrado em Informática Forense do Departamento de Engenharia Elétrica e Polícia Federal/ Universidade de Brasilia (1 ano)
- Membro da ABNT, Comitê CB21/CE27 (Grupos de Trabalho de Resposta a Incidentes e Forense Computacional) (1 ano)
- Membro da High Technology Crime Investigation Association – HTCIA, capítulo Mid-Atlantic/NY – (6 anos)
- Consultor Externo de Segurança do Banco do Brasil S.A. (10 anos)
- Blogueiro em http://blog.suffert.com (3 anos)
- Ex-Coordenador do Grupo de Resposta a Incidentes de Segurança da Brasil Telecom (5 anos)
- Ex-Professor do Curso de Pós-Graduação (MBA) em Crimes Digitais da Faculdade UPIS. (1 ano)

Thiago Bordini
a
Palestra: How to tracking people using social media sites
a

- Professor universitário na Universidade Bandeirantes – UNIBAN
- Consultor em segurança da informação com palestras de conscientização e treinamentos de segurança em diversas empresas
- Palestrante em diversos eventos nacionais
- Membro diretor da Hackers Construindo Futuros – HCF Brasil
- Membro da Cloud Computing Security Alliance – CSA Brasil
- Membro da comissão de crimes digitais da OAB-SP

Tony Rodrigues
a
Palestra: Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão nos malwares
a

É um profissional certificado CISSP, CFCP, Security+, ACFCP e MCSD com mais de 20 anos de experiência em TI e 8 anos em Gestão de Segurança de Informações, tendo liderado várias investigações, perícias e pesquisas sobre Computação Forense. Tony é consultor em Segurança de Informações, membro da Comissão de Crimes de Alta Tecnologia da OAB-SP e já palestrou em importantes conferencias internacionais (YSTS, H2HC, WebSecForum, OWASP, CNASI). Criou o primeiro treinamento em Computação Forense do Rio de Janeiro, formando peritos em várias organizações incluindo Polícia e Ministério Público. Tony é autor/criador do blog http://forcomp.blogspot.com, sobre Resposta a Incidentes e Forense Computacional, e também colabora com artigos no blog de Computer Forensics da SANS.

O Stuxnet e a responsabilidade civil

2011-05-29T14:04:00.003-03:00

Neste que é o ultimo(?) post da série Stuxnet, quero colocar algumas indagações e duvidas de ordem jurídica. Sei que alguns leitores militam no Direito e poderão contribuir.

O Stuxnet, como foi veiculado e também comentamos ao longo dos posts, causou uma serie de estragos. Observando a linha do tempo de atuação dele, podemos perceber algumas coisas críticas envolvendo o processo de infecção dele:

- Os 0-day exploits usados;
- Os exploits que já possuíam correções;
- A senha hardcoded no WinCC/Step7;

Enquanto ter uma máquina explorada por um exploits cuja vulnerabilidade já foi corrigida é falha da equipe da empresa explorada, que não atualizou a máquina devidamente, os outros dois casos tem conotação diferente.

Na questão da senha hardcoded, não tenho a menor dúvida de que isso vai contra todas as boas práticas de segurança. Não importa quais controles compensatórios estejam atuando, existem inúmeros esquemas de segurança para evitar o hardcoded, que torna rapidamente o elo mais fraco e o primeiro a ser atacado. Que o diga o Stuxnet. Isso dito, e considerando que InfoSec nao deveria ser novidade para nenhuma empresa de porte da Siemens, minha pergunta é se caberia ação de reparação contra a Siemens, por danos causados pelo Stuxnet, considerando negligência a questão do hardcode da senha.

A parte do 0-day requer uma analise sob um outro ponto. A principal técnica de propagação, baseada em arquivos .lnk craftados, era um 0-day que tinha sido usado anteriormente. Há registros sobre o uso dessa mesma técnica em novembro de 2008, com uma variante do Trojan.Zlob. Ou seja, a técnica era já conhecida "in the wild" por 2 anos !!! O outro 0-day, explorando uma vulnerabilidade do Printer Spooler, foi comentado na edição de abril de 2009 da revista Hakin9 ! Nos dois casos, o fabricante do SO pode ter deixado os usuários na mão por muito tempo, e isso implicou a viabilidade da infecção das máquinas controladoras do PLC, e com isso, os $$$$ de prejuízo. Dai vem a pergunta número 2: caberia reparação contra o fabricante de SO, considerando negligência por não ter consertado em tempo razoável falhas graves divulgadas publicamente ?

Doutores e não doutores, comentem !

Até o próximo post !

Stuxnet e seus estragos

2011-05-27T13:48:00.003-03:00

Ainda na nossa serie de posts sobre o Stuxnet, gostaria de comentar e lançar uma discussão sobre o impacto desse malware.

Há algumas coisas que podem ser imediatamente apontadas como tendo impacto negativo, mas outras vieram por tabela e lançam aspectos obscuros no já tenebroso mundo cibernético que estamos vivendo.

O impacto real e mais aparente é, obviamente, o principal motivo pelo qual o malware foi escrito. Ele é uma arma cibernética de sabotagem. Ponto. Os estragos foram contabilizados e há vários gráficos e estudos por aí que mostram como foi impactante nas estruturas de diversos países, mas muito mais nas plantas atômicas iranianas. Alguns gráficos mostram perceptivelmente que o impacto no Irã foi mais do que o dobro do que o segundo mais afetado; em alguns aspectos, foi mais que três vezes pior, ou maior que a soma de todos os outros afetados.

Ok, mas que outros impactos nos trouxe o Stuxnet ?

Ele mudou o cenário de malware. Ao aplicar técnicas novas, rebuscadas e sincronizadas, ele pode ter lançado novas formas e métodos de ataque que em breve estarão disseminados e serão comuns nos malwares, e sem duvida essa nova situação vai requerer mais pesquisas e praticas investigativas diferenciadas. O mecanismo de injeção de código dele, por exemplo, é engenhoso e inovador.Ele também lançou nova onda nos conceitos de guerra cibernética.

Ate onde pude colher informações, nunca tinham usado malware com objetivos de sabotagem de infra-estrutura critica. Isso também com certeza vai cair no lugar comum e vai acontecer com mais freqüência. No ultimo Hackinthebox houve uma palestra indicando como malware pode causar danos físicos ao hardware do computador, fazendo com PCs o que o Stuxnet fez com as centrifugas. A bem da verdade, isso não é nada novo. No inicio dos anos 90, a onda era criar malware que danificava a trilha 0 do disco, detonando-o. Também me lembro de algumas rotinas em assembly cujo objetivo era danificar o monitor, colocando parâmetros incompatíveis nele. Isso tinha parado, mas tudo indica que pode voltar.

Apesar de tudo, o maior impacto indireto das ações do Stuxnet não está no que comentei acima, mas no fato de que algumas das dlls do seu código estavam assinadas com certificados validos. O driver mrxnet.sys, parte do Stuxnet atuando como um rootkit, estava assinado digitalmente com um certificado válido da Realtek. Outros arquivos possuíam a mesma assinatura digital. Em meados de 2010, outros arquivos identificados como parte do código do Stuxnet estavam assinados digitalmente por um certificado válido da empresa JMicron Technology Corp. Vale notar que, fisicamente, ambas estão próximas e isso pode indicar que os certificados foram roubados por alguém com acesso físico às dependências das duas empresas. O quanto essa situação vai trazer de desconfiança nos esquemas de assinatura digital não sabemos ainda. É fato que a validade de todo o processo reside no fato de a chave privada estar muito bem guardada, e não acredito que esse tenha sido o único caso de comprometimento até hoje registrado. A famosa propriedade da assinatura digital conhecida como não-repúdio, onde o emissor não pode negar a autoria do que foi assinado, pode sair arranhada desse caso. Assim como a alegação de insanidade virou moda nos processos americanos e, nos meios digitais, o malware defense ("não fui eu quem fez isso, foi um vírus"), essa pode ser a próxima tese de defesa em documentos assinados digitalmente ("está assinado mas não fui eu, minha chave privada deve ter sido comprometida").

Pronto, mais um problema para resolver. Não devemos esquecer que já está acontecendo no Brasil o projeto da nova carteira de identidade, que já virá com chip e certificado, permitindo o uso em assinaturas digitais. Ahhh, mas tem a revogação do certificado, você pode dizer.
É verdade. O código Stuxnet com assinatura da Realtek foi identificado em 25 de Janeiro de 2010. O certificado foi revogado em 20 de julho. Tire suas conclusões ...

Comentários ?

Até o próximo post !

Stuxnet - fingerprinting e contra-inteligência

2011-05-25T22:13:00.003-03:00

Uma das atividades investigativas mais interessantes é o Fingerprinting. Apesar do nome, a técnica investigativa não é a mesma usada em pentesting. No nosso caso, o objetivo pode ser o mesmo, mas as técnicas costumam diferir bastante.

O objetivo é detectar traços nos vestígios que possam dar pistas sobre o caso. Fingerprinting tem uma diferença básica em relação às técnicas de forense propriamente ditas, porque Fingerprinting não é conclusivo, são apenas dicas ou possibilidades, enquanto que as técnicas forenses buscam corroborar hipóteses (ou negar), trazendo a verdade dos fatos. Forense é conclusiva, Fingerprinting é mais um "achismo", mas muito útil em alguns casos, podendo dar a direção correta a ser tomada em uma investigação. Ajuda também a filtrar situações, priorizando a busca por determinados artefatos.

Alguns tweets apareceram recentemente citando Fingerprinting e o código do Zeus. Alguns investigadores usaram as técnicas e supõem que o autor do código tem o inglês por língua nativa. Há técnicas que, pela freqüência das palavras utilizadas, permitem sugerir a altura do autor/digitador ! Muito bacana, mas como eu disse antes, nada conclusivo.

Algumas dessas técnicas foram usadas no Stuxnet. Não nos fontes, pois não são públicos, mas os binários deixaram alguns traços possíveis de serem analisados.

Uma das mais bacanas é o magic number que ele escreve, numa espécie de marcação que avisa da existência dele e evita que a máquina sofra continuas re-infecções. É um valor adicionado a uma chave de Registry. Se o valor estiver lá, o Stuxnet não infectará a máquina novamente. O valor é o número 19790509, que pode ser apenas um número qualquer ou pode ser entendido como uma data. O que teria acontecido em 9 de maio de 1979 ? Dentre varias coisas, uma chama a atenção. Essa foi a data da primeira execução de um judeu iraniano pelo governo islâmico recém empossado à época, marcando o inicio de um grande êxodo de judeus do Irã. Sugestivo, não ?

Há uma outra data em um dos arquivos de configuração, mas essa é uma data explicita e indica que o Stuxnet não vai mais fazer nada após ela: 24 de junho de 2012. Qual será pista para essa data ?

Há ainda outras marcas interessantes. Um dos magic numbers usados como status final da rotina no PLC é a seqüência hexa 0xDEADF007, que pode significar dead fool ou dead foot, termos usados em aviação e que indicam pane no motor. Além de tudo, os caras são também espirituosos hehehe

Outra: Dentro do código de um dos drivers há uma path não removida que aponta para b:\myrtus\src\objfre_w2k_x86\i386 \guava.pdb. Guava (goiaba) é uma planta da família dos myrtles ou myrtus, mas também podemos ter myrtus como MyRTUs, onde RTU é uma sigla alternativa ao PLC. Só que não para por aí. Myrtles é o significado em inglês do nome hebreu Hadassah, nome original de uma conhecida Rainha dos judeus descrita na Bíblia como Ester. Segundo relatos bíblicos, Ester descobre um plano para assassinar judeus e, com muita sabedoria, consegue inverter a situação. No fim das contas, os que tramavam contra os judeus são pegos e partem dessa para melhor (ou pior, vai saber ?). As analogias são inteligentes e dá para perceber que a equipe gastou tempo nisso.

Mas ... E se tudo isso for obra de contra-inteligência ? E se a equipe, sabendo dos procedimentos e métodos de Fingerprinting, não decidiu plantar deliberadamente essas marca a fim de colocar o foco em outro grupo ? Tudo é possível. Há diversos posts na web com acusações inclusive de que o malware teria sido um trabalho conjunto entre Israel e os EUA, com ajuda da própria Siemens, que é alemã. Especulações à parte, a maior lição que talvez possamos tirar disso é que o Fingerprinting ajuda mas não determina nada. Sempre devemos ter cuidado em não sermos levados em direções erradas nas investigações, ainda mais nesses novos tempos de cyberwar e armas cibernéticas, como é o caso do Stuxnet. Lembre-se que, segundo o movimento natural do mercado e da tecnologia, o próximo passo é passarem a tornar as técnicas do Stuxnet comuns e mais acessíveis, até o ponto onde poderemos pegar malwares mais corriqueiros fazendo uso das mesmas artimanhas e estratégias.

São tempos difíceis ...

Até o próximo post !

O Stuxnet e as capivaras

2011-05-22T10:31:00.005-03:00

Em primeiro lugar, gostaria de dizer que o termo Capivara não foi criado por mim. Essa alcunha genial é fruto das mentes brilhantes dos nossos camaradas do dclabs Grinch, Crash e Alexos, hábeis observadores da natureza e da semelhança com atitudes de certos usuários.

A pergunta que não quer calar é: Habitariam também as capivaras os ambientes high-tech, ou estariam confinadas apenas aos lugares mais comuns, onde o Office é o exemplo máximo de tecnologia ? Infelizmente, habitam.

Vamos falar de alta tecnologia.

O STUXNET

Essa obra de arte da tecnologia não é mais novidade. O assunto já rola há algum tempo e foi alvo de pelo menos 3 comentários nas palestras do WebSecForum, incluindo a minha.
O Stuxnet é um malware especificamente criado com fins de sabotagem. Ele pode ser desmembrado em algumas dlls e códigos que vão infectar máquinas Windows e controladores PLCs, de maneira bem especifica.

Diferentemente dos PCs, cujo hardware é praticamente padronizado e o SO não varia tanto também (win, Linux, etc), a arquitetura que envolve controladores industriais é bem mais complexa e diferenciada.O caso do Stuxnet envolve código específico para centrifugas ligadas a projetos de energia atômica. Algumas pesquisas mostram que a grande maioria dos usuários do modelo vulnerável ao código do Stuxnet esta no IRÃ. Seria isso mera coincidência ?

Em termos de arquitetura, um grupo de centrifugas está ligado por interfaces de controle a um concentrador, que por sua vez liga-se ao PLC (Programmable Logic Controller). Esse equipamento é quem recebe e roda programas em uma linguagem incomum chamada STL e que, através desses programas, controla as centrifugas. Esse controle envolve parametrizações mais simples e algumas mais criticas, como por exemplo, a velocidade de rotação do motor da centrifuga. Essa velocidade é muito especifica para o processo, não pode ser mais nem menos do que o estabelecido, e é exatamente isso que o Stuxnet faz, ora aumentando, ora diminuindo a velocidade de rotação, sabotando o processo.
Para interfacear com o PLC, mandando os programas para ele, por exemplo, existe um PC rodando Windows e fica conectado ao PLC (na verdade, não precisam estar o tempo todo conectados). Em geral , esses computadores ficam apartados das redes TCP/IP, mas também podem estar ligados a uma (o que não parece ser uma boa pratica). No caso específico do PLC alvo do Stuxnet, da marca Siemens, há um software de controle que é executado nesse PC, o WinCC/Step7.

Em termos de preparação e planejamento, o Stuxnet é o estado da arte. Esqueça mensagens com palavras escritas errado e adolescentes programando em uma mesa suja. Stuxnet foi desenvolvido por equipe grande e com skills bem variados. Ele usa complicados esquemas de injeção de código na memória e aplica rootkits para esconder-se tanto na máquina Windows quanto no PLC. O esquema de infecção é engenhoso, apoiando-se em varias vulnerabilidades, sendo que duas delas eram 0-day na época de seu lançamento. Além disso, busca infectar máquinas Windows com Step7 ligadas a rede TCP/IP ou não. Para as desconectadas usa uma estratégia bastante inteligente: a fim de manter as máquinas atualizadas, em geral os administradores baixam patches para pendrives e as atualizam off-line, plugando o pendrive em cada uma das máquinas que acessam PLCs. O Stuxnet tem um sub-sistema específico para explorar máquinas a partir de arquivos .lnk e com isso infectar máquinas onde pendrives contendo tais arquivos forem usados. Muito engenhoso !

Vale a pena tirar um tempo e estudar mais profundamente a estratégia e os detalhes desse malware. Ele foi citado, inclusive, em uma das minhas previsões da minha palestra no WebSecForum e imagino que vá criar uma nova onda de ataques muito mais complexa e elaborada que as atuais.

Onde estão as Capivaras ???

O Stuxnet ataca por todos os lados. Uma das estratégias de infecção é buscar a máquina que está rodando o banco de dados do WinCC. Ele se conecta ao banco e usa algumas queries, acessa o SO, aciona OLE automation, enfim, faz a festa. Como ele faz isso ? Muito simples. A senha do database está hardcoded dentro do código do WinCC ...

Sem comentários, não ? Ou melhor, comentem !!!

Até o próximo post !

Ysts 5 - Review

2011-05-19T00:51:00.003-03:00

Quem foi que disse que não dá para melhorar o que já está excelente ? A turma da organização do YSTS mostrou que dá.

O ano passado já tinha sido ótimo, lugar legal, palestras super interessantes, mas o trio Willian Caprino, Nelson Murilo e Luiz Eduardo conseguiu se superar. O lugar foi ainda melhor, ambiente descontraído, e as palestras estavam super interessantes. Não posso deixar de destacar também o trabalho do staff, sempre disponíveis para ajudar (valeu o help, Rodolfo!).

O dia começou com uma palestra genial sobre lockpicking. Foi a primeira vez que assisti uma palestra sobre esse tema. Já tinha visto vários vídeos sobre o assunto, mas ao vivo é mais interessante e o palestrante, Deviant Allan, mandou bem. Acredito que o tema foi muito bem recebido, já que a área que foi disponibilizada para tentar as técnicas estava sempre cheia.

Segunda palestra do evento, nosso camarada brazuca Fábio Assolini trouxe algumas histórias macabras de roubo de identidade no Brasil. Como o Anchises mesmo twittou, deu medo ...

Alex Kirk veio em seguida trazendo o assunto de uso da porta 80 em canais c&c. Eu estava me preparando para a minha palestra e confesso que aproveitei pouco essa. Vou ler melhor os slides quando forem liberados.

O cheff Tony Rodrigues apresentou em seguida o projeto MUFFIN, uma técnica para se criar toolkits de resposta a incidentes que não tenham as fraquezas ou problemas que encontramos nos toolkits disponíveis atualmente. A apresentação foi muito positiva e varias pessoas já me procuraram querendo trabalhar projeto. Excelente ! Vou dedicar um post especificamente para o projeto e seus detalhes.

Seguindo a minha apresentação, tivemos Gerry Egan mostrando como a ideia de reputação pode ser usada para complementar a proteção pelos antivírus. Almoço, sobremesa, e recomeçam as palestras.

Anderson Ramos falou do histórico do projeto hackers construindo futuros e passou a bola para FerFon falar sobre riscos e como ganhar com eles. A palestra trouxe alguns questionamentos e, como o próprio Fernando comentou comigo, atingiu o objetivo de colocar a turma para pensar em algumas questões. Muito bom.

Michael Smith falou sobre ddos e suas diversas implicações, e foi bacana assistir ao assunto porque ao meu lado estava o Nelson Brito, mestre nesse tema.

Gary Golomb trouxe uma abordagem de forense baseada em rede e falou do Netwitness, um software excelente para esse fim. É tudo e mais um pouco, pena que tem custo altíssimo (há uma versão free, com capacidade reduzida).

A palestra do nosso camarada Zucco veio em seguida, mas eu já estava de partida para o aeroporto e não consegui assisti-la, bem como perdi o hilario Anchises no Infosec Arena. Tenho que vê-las em vídeo assim que ficarem disponíveis.

Fim do resumo, resultados super-positivos e mais um mega evento para a conta desse trio que está de parabéns.

Comentários ? Dê suas impressões sobre o evento !

Até o próximo post !

YSTS 5 e habilidades culinárias

2011-05-09T11:22:00.002-03:00

O mais famoso evento etílico-hacker do planeta está chegando. Dia 16 de maio, algum bar bacana de São Paulo estará fechado e cheio de loucos falando sobre InfoSec, invasões, pentesting, forense e assuntos nessa linha.

Meu paper foi aceito e vou lançar no evento um projeto na linha de coleta de dados voláteis para resposta a incidentes.

O projeto MUFFIN surgiu a partir da observação das vantagens e desvantagens dos produtos existentes no mercado com essa finalidade: levantar os dados voláteis e o estado da máquina, coletando informações para analise. O MUFFIN tem lugar garantido nessa etapa e vai atuar exatamente onde os Live CDs e alguns outros deixam a desejar.

Um exemplo ? Quem já nao passou pela irritante situação de ter o antivirus bloqueando um utilitário legitimo de coleta, enquanto o próprio deixou passar o malware ? E quando o alvo da coleta ou triagem estava se protegendo com alguma ferramenta de anti-forense ? MUFFIN se propõe a tratar esses e outros problemas.

A turma também está preparando a Operação Aurora++. Não perca !

Quem for ao evento, dê um alô. É sempre bom falar de Forense e reencontrar amigos.

Até o próximo post !

Websecforum - Review

2011-05-07T11:15:00.003-03:00

O Web Security Fórum terminou há alguns dias e eu fiquei devendo alguns comentários aqui no blog.

O primeiro deles é sobre a organização do evento. Gustavo Lima, mistura de nerd de Infosec com Silvio Santos, mostrou que podemos ir longe se juntarmos planejamento, contatos e muita, mas muuuita persistência. O evento foi impecável em todos os sentidos, tanto para quem palestrou quanto para quem assistiu. Lugar excelente, infra adequada, preços acessíveis para estudantes, tratamento VIP para os palestrantes (ele só ficou devendo as virgens havaianas que iriam nos abanar durante todo o evento ... Nada é perfeito ...).

Brincadeiras à parte, Gustavo levou nota 10. Foi excelente. As palestras, idem. Diversas disciplinas foram tratadas, desde Segurança de Informações até Direito Digital, técnicas de pentesting, Forense, tivemos até um vidente maluco ... :O. Sem desmerecer os demais, os mineirinhos do DC LABS e o baianinho maluco que veio em seguida foram sensacionais. Milagres deu show, como sempre. Nelson trouxe uma nova versão do T50 em mais uma super palestra multimídia, Mercês vai tomar conta do projeto e foi apresentado lá. Um ponto a mais! O evento também contou com as palestras da Dra Gisele Truzzi e da Carol Bozza, que além de lindas, fizeram excelentes palestras e calaram a boca dos que contam aquela infame piadinha que Deus pergunta se quer ser bonita ou ser de TI ...

Saindo do e entrando no , fiquei me questionando sobre uma característica que notei durante o evento, tanto nas palestras quanto nos comentários e conversas sobre o assunto no hall. Sobre o projeto de lei de crimes cibernéticos, já esta claro que o assunto é polemico e está se arrastando muito além do que imaginávamos. Alguns são, inclusive, da opinião de que nada vai efetivamente sair, nem mesmo nessa década. É nesse ponto que eu pergunto: afinal, o que precisa ser feito ??? Muitas ideias e criticas foram colocadas sobre o assunto no evento. Ok, mas o que efetivamente pode ser feito para acelerar essa discussão e colocar na cadeia quem usa o mouse como arma ?

Comentários ?

Ate o próximo post !

PS: os vídeos das palestras já estão no youtube.

Twitter

2011-05-05T11:12:00.001-03:00

Depois de mais de um ano resistindo à idéia de usar o Twitter, acabei sendo vencido e criei uma conta. Como meu camarada Nelson T50 Brito disse, não posso deixar de acompanhar algumas pérolas que os amigos escrevem, sejam elas de tecnologia ou mesmo pura insanidade.

Já aviso logo que meus tweets vão variar entre essas duas linhas, então siga-me por sua própria conta e risco ;)

O nome da conta faz menção a um novo projeto que lançarei em breve: @OctaneLabs

Vamos nos ver por lá.

Até o próximo post !

Web Security Forum

2011-02-10T16:28:00.000-02:00

Nos dias 9 e 10 de abril teremos em SP mais um novo evento de Segurança de Informações: O Web Security Forum.

Produzido pelo autor do blog Coruja De TI Gustavo Lima, o evento ocorrerá no Espaço APAS e terá a participação de um time de peso de palestrantes. O foco estará em Cloud Computing, Web Aplication Server, Web Appplication Firewall, Virtualização de Ambientes, Vulnerabilidades, Testes de Intrusão, Computação Forense e Técnicas Hackers

O evento terá uma série de facilidades de locomoção para o local, diversas opções de pagamento e descontos para universitários e estudantes em geral. Teremos também uma infra-estrutura muito bem organizada.

Estarei por lá. Fui convidado para falar no evento e escolhi o tema: Novos Rumos da Computação Forense no Brasil e no Mundo. Vai ser uma espécie de previsões de ano novo tecnológica. Um pouco atrasada, já que estamos rumando para o fim do primeiro trimestre. Não importa, não dizem que aqui o ano só começa depois do Carnaval ?

Então ainda estamos em tempo ! Encontro vocês por lá.

Até o próximo post !

Mais uma para se preocupar

2011-02-03T14:30:00.001-02:00

As ações relacionadas à anti-forense estão cada vez mais criativas. Depois de milhares de técnicas diferentes para subverter a investigação, a ThotCon 0x1, primeira conferencia de segurança de informações em Chicago no estilo do nosso YSTS, trouxe uma palestra bem interessante ligada ao assunto.

Greg Ose e Chris Neckar, da Neohapsis, apresentaram Forensic Fail Malware Kombat. Nela, além de algumas técnicas, os autores mostram (e demonstram) como conseguiram executar código arbitrário durante uma perícia.

Eles perceberam que tanto o FTK quanto o Encase possuem uma falha que permite execução de código durante a análise de um malware especialmente montado. Além das óbvias implicações que isso tem, os autores afirmaram que já tinham notificado ambos os fabricantes há pelo menos 3 versões de cada produto (especula-se que a notificação tenha sido anterior à 6.14 do EnCase).

Essa palestra foi há quase um ano e somente agora eu pude ter contato com o material. Gostaria de abrir uma linha de discussão sobre isso. Qual impacto esse problema (ou semelhantes) pode ter para a Computação Forense ? Isso fere a credibilidade dos resultados ? O problema já foi consertado ? O que dizer da postura das duas empresas em relação a demora em corrigir o problema ? Será que as ferramentas forenses também vão virar alvo de ataque ? Você já teve experiências semelhantes em outras ferramentas forenses ?

Comente !

Até o próximo post !

Mais duas boas ferramentas na área

2011-01-12T12:03:00.005-02:00

A turma decidiu mesmo inovar nesse fim de ano. Duas novas ferramentas/versões de ferramentas chegaram para ajudar.

A Paraben disponibilizou mais uma nova versão do free P2 Explorer. Com ele, é possível montar uma série de imagens forenses, incluindo formatos E01 (Encase) e SMART. O FTK Imager, comentado há alguns dias, acaba sendo mais versátil, mas é sempre bom ter opções.

Outra ferramenta excelente recém lançada é a Tableau Imager. TIM, como é chamado, também é uma ferramenta free e usa interface gráfica para coletar imagens forenses no formato dd (raw) ou no formato Expert Witness (.E01). A interface é bem semelhante ao GuyMager e, de acordo com o site da Tableau, seu código é optimizado para trabalhar com seus write blockers. Ainda assim, o utilitário funciona normalmente com ele. Está disponível em 32-bit ou 64-bit. O ponto ruim é que não faz (pelo menos eu não achei em nenhum lugar) imagem lógica (imagem forense de partição).

Um outro ponto que ocorreu nesse fim de ano e que pode não ser tão bom assim foi a retirada do suporte ao aimage. Parte da AFFLib, o aimage é o utilitário de linha de comando que executa a imagem de mídias no formato AFF. De acordo com o autor, o aimage não é mais necessário, já que tanto o Guymager quanto o FTK Imager dão suporte à captura em formato AFF, tanto para Windows quanto para Linux. O que contexto, nesse caso, é o fato de que pode ser necessário para alguém usar linha de comando, talvez em um script, e ambos citados pelo Simson são GUI. Isso pode fazer falta ...

Comentários ?

Até o próximo post !

Enfim, AFF no Windows

2011-01-10T11:20:00.002-02:00

Eu já escrevi aqui no blog por diversas vezes sobre o quanto admiro o formato AFF. É open source, criado desde o começo para ser um formato aberto e abrangente para forense, e tem vantagens sobre os outros formatos mais comuns, incluindo o dd (raw) e o Expert Witness (E01), usado no EnCase. O grande problema que via nesse formato para adotá-lo como padrão eram as limitações dele no ambiente Windows.

O TSK no Windows consegue ler esse formato normalmente, mas não havia como montá-lo no ambiente de janelas. Bem, pelo menos usando ferramentas open/free. Isso até bem pouco tempo.

A novíssima versão do FTK Imager, provida pela AccessData, gigante da nossa área, traz dentre várias modificações e melhorias, a capacidade de montar imagens forenses. Os formatos vão desde o simples .iso (de CDs, DVDs, etc) até o formato AFF, oferecendo também o E01 e os formatos de discos virtuais mais conhecidos (vhd e vmdk). Basta acessar a imagem forense que a interface faz o resto, permitindo inclusive que se monte como read-only com cache de write (todas as escritas vão para um arquivo à parte).

Além dessa excelente novidade, o FTK Imager novo está preparado para exFAT (novo formato de FAT muito usado em pendrives e cartões de memória de grande capacidade) e Ext4. Isso faz do FTK Imager uma ferramenta obrigatória na caixa de ferramentas de qualquer perito ou investigador em Computação Forense. Ele coleta imagens forenses em vários formatos (incluindo agora o AFF), faz dump de RAM, captura arquivos bloqueados pelo sistema (registry) e ainda permite analisar arquivos de imagens forenses e suas estruturas. Um mil-e-uma-utilidades, com certeza.

Alguém já está usando essa ferramenta ou o formato AFF e gostaria de compartilhar suas impressões ?

Até o próximo post !

Ano Novo, Cara Nova

2011-01-02T23:35:00.001-02:00

Novo Design para marcar 2011. Afinal de contas, cara nova não é só para a turma que gosta de botox.

Um bom 2011 e que tenhamos muitos avanços em Computação Forense nesse ano !

Saúde e até o próximo post !

Privacidade ?

2010-12-10T22:57:00.004-02:00

Uma decisão muito importante foi anunciada no meio do ano e não comentei por aqui, por grande descuido mesmo.

A Suprema Corte de New Jersey enfim estabeleceu regras para determinar o direito à privacidade nos emails pessoais. Esse assunto já é bastante controverso em relação aos emails corporativos. Pelo que bem entendi das explicações dos colegas advogados, esse tema é polêmico porque o direito à privacidade bate de frente com o direito à propriedade. Ou seja, o funcionário teria direito à privacidade em relação aos seus emails, mas ao mesmo tempo a empresa tem direito de monitorar o email, visto que é usado no trabalho.

Essa questão rodou muito até aparecerem as primeiras decisões do nosso Supremo, favorecendo às organizações. Alguns cuidados foram estabelecidos, e dentre eles o claro aviso ao colaborador de que o email corporativo é monitorado e deve ser usado para fins de trabalho.

Ainda assim, a questão continua delicada quando envolve o famoso webmail pessoal, que todo mundo tem. A empresa pode monitorar o seu webmail particular ??

De acordo com a Suprema Corte de New Jersey, não. Se o email não é fornecido pelo seu empregador e é protegido por senha, então não pode ser monitorado porque, segundo essa decisão, há expectativa de privacidade.

Se faz sentido por um lado, por outro isso pode aumentar os casos de vazamento de informações através do webmail. Como estão as decisões sobre esse ponto em particular, aqui no Brasil ? Você acredita que a implantação de soluções DLP iriam ferir essa decisão ? Como você acha que as corporações devem lidar com esse ponto ? Comente !

Até o próximo post !

TSK novo na área

2010-12-07T22:25:00.000-02:00

A notícia nem é tão nova (ando perdendo o timing de algumas novidades) mas é bastante interessante. O The Sleuth Kit, um dos utilitários open source mais utilizados em Computação Forense, lançou no final de outubro a sua mais nova versão (3.2.0).

Com versões para Linux e binários para Win32, o TSK novo vem com algumas novidades, além do tradicional conserto dos bugs reportados:

- Flag de case-sensitive para o fsstat no HFS+

- Nome default do atributo $Data do NTFS tem nova regra de formação

- Adicionaram os parâmetros -e e -s no img_cat, dessa forma permitindo recuperar apenas uma faixa de setores

- Uma nova classe foi criada para tornar mais fácil a criação de ferramentas que analisam todos os arquivos da imagem

- Criou-se uma nova camada de abstração (camada de automação). A idéia dessa camada é conter ferramentas que realizam operações mais complexas, correlações, etc. Dentre elas:

* tsk_recover localiza e extrai arquivos diretamente de uma imagem. Muito bom para extrair/recuperar arquivos não-alocados;

* tsk_loaddb analisa a imagem forense, baixando todas as informações da imagem para um arquivo de banco de dados sqlite. Muito útil para que outras análises possam ser feitas na imagem sem que os utilitários do TSK sejam chamados. Logicamente, gasta-se um tempo na geração desse banco de dados mas depois as operações a partir dele se tornam mais rápidas;

* tsk_getimes varre todos os volumes em uma imagem forense e coleta as MAC times disponíveis no estilo do bodyfile (fls);

* tsk_comparedir compara um diretório montado com uma imagem, procurando detectar rootkits. A idéia é que rootkits conseguem inibir a aparição de alguns arquivos no disco, mas normalmente não tem nenhum mecanismo de ocultamento para quando o disco é acessado em modo raw. Por isso, o programa compara as saídas em modo raw com a obtida pelos comandos do SO. As discrepâncias são alertadas;

Alguém já está usando a nova versão (principalmente as novas ferramentas) e gostaria de compartilhar ?

Até o próximo post !

Novidades para Memory Forensics

2010-12-06T14:45:00.002-02:00

Embora não seja uma notícia tão nova assim, a área de Memory Forensics ganhou um bom upgrade: A Mandiant liberou em setembro a nova versão do seu utilitário free Memoryze.

As seguintes melhorias estão listadas no site do produto:

- O produto ganhou uma GUI chamada Audit Viewer. Essa interface mostra os resultados apurados pela ferramenta e tem uma funcionalidade bem interessante: A Malware Rating Index, que emite um score sobre os arquivos extraídos da memória (imagens de executáveis) e analisados pela ferramenta. Mais alto o score, mais o arquivo se parece com malware.

- Agora a ferramenta suporta Win7 e Win2008 64-bit

- O algoritmo de detecção de processos foi alterado para perceber o uso de rootkits e algumas técnicas de anti-forense.

- Performance melhorada em até 40%

- Havia um bug na instalação do Memoryze em pen drives. Foi corrigido.

Alguém já está usando a nova versão e gostaria de compartilhar ?

Até o próximo post !

Prevenir é melhor do que remediar

2010-12-05T15:47:00.002-02:00

Dizem que prevenção e canja de galinha não fazem mal a ninguém. A canja eu não posso passar pelo blog, mas na questão de prevenção posso dar uma mãozinha.

A essa altura do campeonato, você já deve ter escutado algumas milhares de vezes que não se pode modificar um arquivo de imagem forense, que isso pode ser confirmado calculando o hash do arquivo antes e depois de se trabalhar com ele, etc, etc e etc. Ao trabalhar com uma imagem forense, você já deve ter visto também uma série de options para o -o do mount de forma a se proteger que qualquer alteração indesejada.

Porém, como em um adesivo muito comum em carros americanos, "shit happens" e você pode acabar executando algo fora do esquema, alterando ou até mesmo apagando o arquivo. Lembre-se que pode haver apenas uma maneira de fazer a coisa certa, mas certamente haverá muitas de se fazer trapalhadas. E, em muitas dessas, estaremos como "root".

Antes que alguma coisa aconteça, vale adicionar um pequeno e salvador comando à sua prática forense: chattr.

Esse exemplo, indicado em um dos artigos da SANS, fala de um bit/atributo chamado immutable que, se estiver ligado, nem o root consegue fazer nada no arquivo. Ele não apaga nem altera. Ou seja, perfeito para nós, peritos.

# chattr +i imagem.dd

Depois desse comando, para alterar qualquer coisa no arquivo será necessário antes que o bit-atributo seja desligado (-i). Senão, nada acontece e o arquivo fica protegido contra as mãozadas que às vezes nos assombram. Sabe como é, madrugada, muitas imagens para analisar, desastres batem à porta.

Mãos a obra e mais tranquilidade no dia a dia. Deus abençoe o chattr ...

Até o próximo post !

Compartilhar ou não compartilhar, eis a questão !

2010-12-01T23:10:00.003-02:00

Uma discussão recente foi levantada no evento de Resposta a Incidentes da Mandiant.

Thomas Dullen apresentou o que pode realmente ser um impasse em relação a IR e as tecnologias atuais aplicadas aos anti-virus. Segundo ele, as proteções e estratégias são basicamente focadas em assinaturas. No entanto, as mesmas assinaturas produzidas para proteger informam aos atacantes o que o anti-virus está checando, e daí passa a ele toda a inteligência utilizada e dá, de graça, o conhecimento que o atacante precisa para alterar a versão inicial do malware, precavendo-se de ser pego novamente. Esse modelo faz com que, no fim das contas, os atacantes sempre tenham mais informações do que os defensores. Na mesma palestra, Thomas discute alternativas possíveis a essa abordagem.

O que você, nobre leitor deste blog, acha ? A tecnologia atual de detecção e ações automáticas de contenção, todas baseadas em assinaturas, deve evoluir ? A submissão de novos malwares detectados aos fabricantes é beneficial ou prejudica ?

Comentem !

Até o próximo post !

H2HC 7a Edição

2010-11-29T10:36:00.004-02:00

Pela segundo ano consecutivo tive a honra de palestrar nesse que é um dos maiores eventos de Segurança de Informação do mundo. Dessa vez, aqueci as turbinas um pouco mais cedo, pois também ministrei um treinamento especial de dois dias sobre Advanced Disk Forensics, onde entupi a turma com clusters, tabelas de diretórios, milhares de atributos e inodes.

Como fiz no relato sobre o OWASP AppSec, não vou comentar sobre todas as palestras porque ando muito indisciplinado e não anotei os detalhes. Repito também que provavelmente farei injustiça a alguns, podendo deixar de comentar alguma coisa que com certeza foi bacana, mas como dizia um antigo chefe, quando reclamávamos de algo: "Quem foi que disse que a vida é justa ????"

Primeiro dia, Luiz Eduardo começou impressionando por levar um assunto bastante maduro. Comentou uma série de pontos que estão ocupando recorrentemente as listas de discussão brasileiras. Logo também pela manhã, recebi a missão de falar após o break. Precisei dar alguns golpes no datashow, que não se entendia de jeito nenhum com meu notebook, mas no fim, mostrei quem mandava ali: ele. Tive de trocar para o cabo HDMI e ficamos em paz. Minha palestra teve por base uma frase muito comum e bem conhecida por muitos peritos e investigadores em Computação Forense: "Sinto muito, não temos nenhum log disso aqui". Meu foco foi mostrar vários vestígios comuns, seja ao Sistema Operacional, ao sistema de arquivos ou mesmo a aplicações, que podem nos orientar e até mesmo servir como logs do que aconteceu na máquina. Acontece que me empolguei quando estava criando os slides e ao invés de uma apresentação, ao final eu estava quase que com um livro em PPT. Temendo que todos dormissem copiosamente durante a palestra, usei toda a psicologia aprendida na caserna e me apresentei como um irado Capitão do Bope, pronto para ensacar quem cochilasse (a manipulação da foto que fiz estava tão tosca que fiquei feliz por não ter de ganhar a vida com o Photoshop). No fim, acho que deu certo e fiquei com uma platéia de corujas. :D

Quem me sucedeu foi meu camarada Anchises, que fez a palestra mais divertida do evento, sobre SCADA, FUD e o vulcão cujo nome ninguém soube pronunciar. Nem mesmo o próprio Anchises, que acabou se esparramando ao chão quando tentou.
Também no primeiro dia tivemos a presença do meu camarada multimídia Nelson Brito. Mantendo o padrão das músicas maneiras e da apresentação do ano passado, Nelson mostrou os resultados de sua nova pesquisa (como é que esse cara consegue ser bom de design e bom de assembler ao mesmo tempo ??? :O). Nelson apresentou como conseguiu otimizar absurdamente a performance de algumas operações simples a tal ponto de dar uma nova cara ao que já estava batido Denial of Service. Quem não viu, perdeu.

Almoço, restaurantes no entorno completamente lotados e lá estou eu retornando muito atrasado para o auditório, descobrindo que perdi a palestra do Fernando Fonseca, que muito me interessava, e a do Anderson, que sempre dá show e conduz muito bem suas palestras (há quem diga que ele começou a palestrar na maternidade :D).

Segundo dia começou bem, Wagner Elias falando sobre o HTML5, Spooker sobre PDFs maliciosos, Matthieu Suiche sobre as ferramentas da MoonSols (que ele criou) para captura de RAM (incluindo formatos de dump do BSOD e mesmo arquivos de hibernação), Jeremy Brown mostrou alguns detalhes muito interessantes sobre SCADA e um dos franceses mais carioca que eu já vi, Jonathan Brossard, mostrou uns truques sujos atacando a memória.
No fim das contas, o evento arrebentou, a organização dos meus amigos Balestra e BSDaemon contou bastante para o sucesso dessa edição, que tirando eu, só tinha gente fera. Como sempre acontece, saio do evento achando que cada vez preciso estudar mais para entender onde estão os vestígios dessas técnicas. O que é bom, claro.

Alguém gostaria de acrescentar algo, ou mesmo comentar as palestras que eu perdi ?

Até o próximo post !

OWASP AppSec Brazil 2010

2010-11-20T16:10:00.004-02:00

A conferencia mais importante sobre Segurança de Aplicações Web chega na sua segunda edição no Brasil. Dessa vez, Campinas foi o palco para grandes feras do assunto falarem sobre vulnerabilidades, ataques, defesas e investigações no mundo de aplicações Web.

Não vou colocar detalhes de cada palestra, até porque não consegui estar presente em todas elas. Ainda assim, correndo o risco de cometer injustiças e deixar de comentar alguma, vou falar das que pude estar presente e foram bem marcantes.

Robert "RSnake" Hansen falou sobre cookies e como esses pequenos e aparentemente ingênuos arquivos podem ser usados como vetor de ataque. Chris Hofmann falou sobre browsers e o que pode ser feito (ou, de certa forma, já está sendo feito) para torná-los mais seguros. Mano Paul fechou a primeira parte da tarde com uma excelente palestra sobre o mundo virtual e o mundo animal, com várias analogias muito interessantes entre o nosso dia a dia em InfoSec e outra parte onde ele é também especializado. Não, não tem nada a ver com tecnologia, o cara saca tudo de tubarões ...
Findo o break, este quem vos "fala", Tony "LTigre" Rodrigues falou sobre Computação Forense. Sim, de acordo com o Mano Paul, palestrante de InfoSec tem que ter um nome cool como o RSnake. Ele cunhou para si o Manu Shark Paul e eu vou na onda do Tony "LTigre" Rodrigues, esperando que a Kellogs não me processe ;)
Meu ponto de vista para a palestra foi o seguinte: Temos uma compilação dos maiores riscos para a segurança de aplicações Web, que é o OWASP Top Ten. Minha proposta foi comentar sobre os dez maiores vestígios normalmente localizados e procurados em casos de Forense de Aplicações. Criei o Tony's Computer Forensics Top Ten Artifacts.

O segundo dia foi bem interessante, e gostaria de destacar a excelente e divertida palestra do Samy Kamkar. Dotado de um enorme bom humor, Samy conseguiu juntar conhecimento técnico avançado em boas e divertidas doses na sua forma de apresentar. O conteúdo todo é uma grande mostra de como e onde se consegue chegar hoje em dia, explorando o client-side, cookies e companhia.

Para quem quiser acompanhar, os slides que usei na palestra estão disponíveis no meu SlideShare.

Alguém esteve por lá e gostaria de comentar ?

Até o próximo post !

Computação Forense e Virtualização

2010-11-04T00:21:00.003-02:00

O vídeo e o PDF da minha palestra no YSTS 4th Edition, em 2010, está liberado.

O objetivo dessa palestra foi abordar como a Computação Forense se relaciona com o conceito de Virtualização. Procurei abordar o tema em 3 visões distintas: A visão de um Perito que encontra um ambiente virtualizado para periciar, a visão de um Investigador Digital que usa ambiente virtualizado a seu favor, implementando técnicas e métodos baseados em máquinas virtuais, e também a visão do atacante, que usa máquinas virtuais para ações maliciosas, esperando diminuir os vestígios das suas atividades.

Comente suas opiniões sobre a palestra !

Até o próximo post !

Anti Anti Forensics

2010-10-15T00:11:00.004-03:00

O vídeo e o PDF da minha palestra no H2HC 6th Edition, em 2009, está liberado.

O objetivo dessa palestra foi abordar os principais conceitos e técnicas ligados à Anti-Forense, além de mostrar os vestígios que essas técnicas deixam. Outro ponto importante da palestra foi abordar que Anti-Forense não produz um crime perfeito, ao passo que Peritos também não possuem técnicas perfeitas. Essa "guerra" produz crescimento e amadurecimento das técnicas, no fim das contas.

Até o próximo post !

Palestra confirmada no H2HC

2010-10-07T11:46:00.004-03:00

Estarei presente no próximo H2HC, em Novembro. Além de ministrar um treinamento sobre Advanced Disk Forensics, vou palestrar sobre uma situação bastante comum no dia a dia dos "Forensicators", como temos sido chamado nos EUA e Europa. Será uma grande satisfação palestrar no mesmo evento que uma turma da pesada, assim como foi na edição do evento do ano passado.

A ideia da palestra é mostrar onde olhar e procurar por vestígios naquelas situações desesperadoras onde quem demandou a investigação digital te olha e diz: "Sinto muito mas não temos nada". Além de sentar e chorar, há algumas coisas que podemos fazer nesses casos e, em muitas vezes, podemos chegar plenamente a uma conclusão satisfatória.

Happy hours são bem-vindos !

Até o próximo post !

Curso no H2HC confirmado !

2010-10-06T17:12:00.003-03:00

No final do ano teremos novamente a já tradicional conferência hacker H2HC, considerada por muitos a melhor conferencia hacker brasileira, junto com a YSTS. Ainda no ano passado, após a minha palestra, recebi um convite do meu amigo Felipe Balestra para pensar em um treinamento no estilo do H2HC, voltado para Computação Forense, logicamente.

Muito bem, as ideias foram chegando e finalmente chegamos em algo bem bacana. O curso foi confirmado, e vamos tratar sobre Análise Avançada de Discos e Sistemas de Arquivos.

Minha abordagem será em torno do Sleuth Kit, partindo desde seu uso mais elementar até chegar a alguns truques bem interessantes. Vamos ter uma parte teórica baseada nas estruturas de alguns FSs mais conhecidos e utilizados, e vou ensinar a automatizar o trabalho usando Perl, a linguagem-mãe para todos os peritos e investigadores. O objetivo não é ensinar a programar perl para uso genérico, sites web, etc, mas voltar seu uso para scripts uteis em Forense Computacional, principalmente a criação de parsers.

Haverá uma série de benefícios em atender a esse treinamento/seminário:

- Vai ser intensivo, com 16h/aula.
- Vai ser baseado em software livre
- Vai ter um custo bastante acessível
- Vai ser nos dois dias que antecedem a H2HC.

O último bullet é uma vantagem a mais. Para quem ainda não sabe, um dos Mega-Master-Plus-Super-Feras da Memory Forensics, Matthieu Suiche, simplesmente o cara que criou o Win32dd, o SandMan e outros, estará palestrando no evento e ministrará um treinamento sobre o assunto nos dois dias depois do evento. Ou seja, meu treinamento não passará por essa concorrência desleal ... ;D

E eu te aconselho a se inscrever nesse treinamento também.

Agora pode parar de ler o post e ir lá no site do evento fazer sua matrícula.

Até o próximo post !

Computação Forense no AppSec Brazil 2010

2010-09-28T16:47:00.003-03:00

O que segurança de aplicações e Computação Forense tem em comum ?

Muitas coisas, e em novembro próximo haverá mais uma: Este investigador que vos escreve teve a felicidade de ver seu trabalho como um dos selecionados para serem expostos no OWASP AppSec Brazil 2010.

O OWASP dispensa apresentações. Ouviu Segurança em Aplicações, ouviu OWASP. Quase sinônimos hoje em dia. Pois bem, essa organização promove uma conferência anual de nível internacional em alguns países cujo capítulo da OWASP já esteja bem estruturado e atuante. No nosso caso, a conferência já vai para sua segunda edição, capitaneada pelo meu camarada Wagner Elias e outros pesos-pesados desse que é um dos principais domínios da Segurança de Informações.

Está dado o recado. Dias 18 e 19 de novembro, estarei por lá aprendendo muito e aproveitando a oportunidade para apresentar um estudo sobre Computação Forense e Segurança de Aplicações, dando uma abordagem bem no estilo do famoso OWASP Top 10 aos vestígios mais importantes em investigações envolvendo aplicações.

Deixe um comentário se você for aparecer por lá. Quem sabe não conseguimos juntar uma turma para um bom bate papo sobre Forense durante o almoço ?

Até o próximo post !

Quebrando o silêncio no rádio

2010-09-25T16:43:00.002-03:00

Depois de ficar de molho na publicação de artigos para o blog, finalmente posso respirar um pouco melhor e voltar à ativa. Apesar da temporada de zero artigos durante um bom tempo, estou voltando com bastante disposição e anunciarei em breve algumas novidades bem legais.

Fiquem ligados e obrigado por ainda estarem por aí depois de tanto tempo só com estática no canal ... ;)

Até o próximo post !

Dois em um - WinTaylor 2.0 e Remnux

2010-07-08T22:47:00.006-03:00

Vou aproveitar um post só para falar de duas novidades boas que acabaram de sair do forno.

A primeira delas serve como um petisco para o lançamento do CAINE 2.0. Trata-se da mais nova versão do WinTaylor, a interface montada pelo CAINE para resposta a incidentes. O novo WinTaylor não é apenas um conjunto com novas versões dos utilitários, ele foi totalmente renovado na interface (que está mais fácil de usar do que a anterior, segundo o site) , funcionalidades e conjunto de ferramentas.

A outra novidade apareceu documentada ainda hoje no blog do Sandro Suffert. Trata-se da primeira distribuição Linux no estilo máquina virtual dedicada especificamente à Forense de Malware, chamada de Remnux. Segundo o site do autor, a distribuição contém:

Analise de malware em Flash: swftools, flasm, flare
Analise de bots IRC: IRC server (Inspire IRCd) e client (Irssi).
Monitoramento de rede: Wireshark, Honeyd, INetSim, fakedns e fakesmtp scripts, NetCat
Desobfuscação de JavaScript: Firefox com Firebug, NoScript e JavaScript Deobfuscator extensions, Rhino debugger, 2 versões do patched SpiderMonkey, Windows Script Decoder, Jsunpack-n
Tratamento de malware de web no laboratório: TinyHTTPd, Paros proxy
Analisando shellcode: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
Tratando com executáveis protegidos: upx, packerid, bytehist, xorsearch, TRiD
Análise de PDF malicioso: Dider’s PDF tools, Origami framework, Jsunpack-n, pdftk
Memory forensics: Volatility Framework e plugins de malwares.
Outros utilitários: unzip, strings, ssdeep, feh image viewer, SciTE text editor, OpenSSH server

Alguém já baixou e testou ? Comentários ?

Até o próximo post !

Podcast StaySafe no ar

2010-07-07T21:49:00.004-03:00

O podcast que gravamos recentemente, onde fui convidado pelos produtores Jordan Bonagura e Thiago Bordini, está no ar.

São cerca de duas horas de um bom bate papo sobre Computação Forense. O site do StaySafe também disponibiliza, além do MP3 do podcast para baixar, alguns links sobre assuntos que foram comentados no decorrer do episódio.

Deixo novamente o meu agradecimento por esse convite. Espero que vocês gostem de ouvir o podcast tanto quanto eu gostei de participar. Foi uma experiência muito bacana.

O "icing on the cake" do podcast foi a versão mixada da Carmina Burana. Nota 10 !!

Comentários ?

Até o próximo post !

Virtualização e CAINE 2.0 - Parte 5

2010-07-06T15:05:00.004-03:00

O título desse post poderia muito bem se chamar "Felipe Melo me deve um feriado". Eu deveria estar agora à beira de uma piscina, curtindo um churrasquinho enquanto Brasil x Uruguai não começa. Isso não vai acontecer por conta de alguns pisões e letargia em campo, e cá estou escrevendo esse bem humorado artigo.

A idéia, na verdade, é comentar que já saiu do forno o vdimount.pl, o script que criei para calcular os dados necessários para montar um arquivo vdi (disco virtual) tanto no Windows como no Linux. Vale lembrar que o funcionamento só é garantido para discos fixos, ou seja, aqueles que já tem seu tamanho final definido e criado desde o início. São a minoria, mas já é alguma coisa. Resta agora que a equipe do VirtualBox libere um utilitário como a VMWare fez em relação ao DiskMount.

O script está disponível no Byte Investigator, cujo link está aqui no blog, na seção de links.

Comentários ??

Até a próxima copa, ops, digo, próximo post ! :O

Virtualizacão e CAINE 2.0 - Parte 4

2010-07-02T15:54:00.000-03:00

Estamos na quarta parte do nosso conjunto de artigos sobre Virtualização em Computação Forense. No último artigo, mostrei uma técnica que permite montar o arquivo .vdi, que é o disco virtual para Virtual Box, através de uma série de etapas que tem por objetivo localizar dentro do arquivo .vdi o offset da partição a ser montada.

Reconheço que cada uma das etapas vai dar um certo trabalho e, obviamente, poupa-se um pouco de trabalho comprando o WinMount. Porém, criei uma rotina para poupar nosso tempo e fazer o trabalho sujo daqueles cálculos todos. Em breve darei mais notícias dessa rotina.

Seguindo em frente na série de arquivos, imagino que já estejam se pergunto o que afinal faz o CAINE 2.0 no título. Hoje você saberá.

Segunda Técnica: Usando o Sleuth Kit com arquivos virtuais

O Sleuth Kit (TSK) é uma ferramenta que suporta vários tipos de arquivos de imagens forenses. Em cada utilitário do TSK, é possível usar a option -i list para determinar qual tipo ele foi compilado para aceitar. As versões mais novas estão compiladas com a AFFLib que já suporta trabalhar com arquivos vmdk. Com isso, implementações TSK que tenham como resposta AFFLib ao usar o -i list permitem trabalhar diretamente com um arquivo vmdk, como se fosse um AFF, EWF ou mesmo dd. O único segredo nesse caso é colocar -i afflib e o restante fica da mesma forma como em qualquer outro formato.

Por exemplo:

# mmls -i afflib discovirtual.vmdk
# fls -o 63 -i afflib discovirtual.vmdk

Onde o CAINE 2.0 entra nisso ??

É que, dentro das diversas distros de Computação Forense em Live CDs, a única que já vem com os pré-requisitos necessários e já consegue manipular .vmdk sem problemas é a nova versão do CAINE, a versão 2.0. É só esperar para ver.

E o disco virtual .vdi, da Virtual Box ??

Não consegui, até agora, verificar nenhuma opção para o TSK que permita acesso direto para o .vdi. Caso o uso do TSK seja imperativo, pode-se usar as técnicas comentadas na parte 3 desse artigo para extrair uma imagem .dd de dentro do arquivo/disco virtual.

Comentários ?

Até o próximo post !

StaySafe Podcast

2010-06-29T23:16:00.002-03:00

O primeiro podcast a gente nunca esquece !

Eu tinha sido convidado para a gravação de um podcast com uma turma muito bacana. Jordan Bonagura e Thiago Bordini criaram um podcast bem bacana e tem feito usado esse instrumento ser útil na divulgação da Segurança de Informações. Nessa terça, foi a minha vez.

Gravamos de forma bem descontraída e aproveitamos para falar de uns assuntos muito interessantes, além de responder a perguntas que os ouvintes do StaySafe mandaram via Twitter. Tudo isso acompanhado de Carmina Burana !

Vamos aguardar a publicação. Assim que eu souber, aviso aqui no blog também.

Só depois pude perceber que esqueci, no final, de mandar um beijo para minha mãe, pro meu pai e para a Xuxa. Uma pena, não devo ganhar sobremesa por isso ... :PP

É, e você achando que todos os peritos eram normais, né ? Pois é ... :D

Até o próximo post !

Virtualizacão e CAINE 2.0 - Parte 3

2010-06-28T14:47:00.006-03:00

Ainda na técnica do artigo anterior, queremos montar no Windows um disco virtual que é, na verdade, um arquivo colhido em uma aquisição forense. Como nossa máquina a ser investigada era uma máquina virtual, o que temos não é um arquivo no formato dd, EWF ou ainda AFF. Temos um arquivo que é o próprio disco virtual. No entanto, a técnica passada no artigo anterior (Parte 2), mamão com açúcar, acabou indo por água abaixo agora porque dessa vez o que temos é um arquivo .vdi.

VDI é a extensão do arquivo que constitui o disco virtual do VirtualBox, e nesse caso não tem um utilitário free no Windows que faça o que o DiskMount da VMWare faz. Vamos ter que quebrar pedra ...

Antes de sair na briga com o arquivo e ver quem vence, vou logo avisando que a técnica abaixo só funciona em arquivos .vdi fixos, ou seja, o tamanho atual é o pré-estabelecido desde sua criação. Todos os tipos de máquinas virtuais (VMWare, VirtualBox, VirtualPC, etc) fornecem a capacidade de criação de discos virtuais do tipo fixo, onde o arquivo assumirá o tamanho final já no momento de sua criação, ou então discos dinâmicos, onde o arquivo começa com um tamanho pequeno e vai crescendo conforme for recebendo conteúdo, até que finalmente atinja o tamanho final especificado. A bem da verdade, os discos (arquivos .vdi) mais comuns são criados no formato dinâmico, o que nos deixa na mão na técnica abaixo. O DiskMount, como foi desenvolvido diretamente pela VMWare, não enfrenta nenhuma dificuldade com o vmdk, mas a Sun não proveu nada parecido com o DiskMount para o VirtualBox, e acabamos com essa dificuldade a mais. Sem desesperos ! Ao final vou mostrar que nem tudo está perdido se o disco for dinâmico.

A técnica para montar arquivos .vdi fixos para Windows passa pelos seguintes passos:

1) Abra o .vdi em um editor Hexa. Recupere uma DWORD (4 bytes) a partir do offset 76 (em decimal). Esse valor informa o tipo de disco virtual, se dinâmico (1) ou fixo (2). Portanto, para essa técnica funcionar você deverá achar 00000001. Lembre-se que a informação estará em Little Endian, ficando invertido. Na prática, no editor hexa você verá 01000000.

2) Ainda no mesmo editor hexa, vá para o offset 344 (em decimal). Recupere uma DWORD (4 bytes) que refere-se ao offset de onde a tabela de partições do disco efetivamente começa. Lembre-se que o valor vai estar invertido (little endian) e em hexadecimal. Por exemplo, em um dos meus arquivos .vdi o valor no editor hexa é 00C80100, o que equivale à 0001C800 em hexa, ou a 116736 em decimal.

3) Vá até esse offset no editor hexa e visualize o início da MBR. Daqui em diante, pode-se fazer alguma técnica de extração que crie um novo arquivo a partir desse ponto até o final, gerando um arquivo .dd que pode ser pesquisado no TSK (SleuthKit) e montado por outras ferramentas, como o ImDisk. Uma maneira de extrair pode ser usando o próprio editor hexa. Outra prática é usando um utilitário dd para Windows como no ex:

c:/>dd if=arquivo.vdi of=minhaimagem.dd offset=116736

4) O exemplo acima funciona, mas vai tomar muito tempo e espaço, já que estamos extraindo todo o disco, praticamente, jogando para um novo arquivo. Para evitar isso, podemos fazer o seguinte: Extraia uma porção bem menor, 1Mb, por exemplo. Novamente, isso pode ser feito tanto do editor hexa quanto do utilitário dd.

c:/>dd if=arquivo.vdi of=pedaco.dd offset=116736 count=1M

5) Esse pequeno pedaço da nossa imagem contém a tabela de partições, que pode ser consultada pelo utilitário mmls do TSK para se determinar onde cada partição está e qual o offset (em setores) de cada uma. No meu exemplo:

c:/>mmls pedaco.dd

6) Localize o offset da partição desejada e o tamanho de cada setor. Em geral, cada setor tem 512 bytes e as partições costumam ter offset 63, o que faz offset da minha partição a ser montada (em relação ao início da MBR) ser 63 x 512 = 32256. Com esse valor calculado, o pedaco.dd pode ser apagado.

7) Agora temos onde a MBR começa dentro do arquivo (116736, no meu exemplo) e onde, a partir daí, está a minha partição a ser montada. Com isso, o offset dessa partição é, a partir do início do arquivo .vdi, igual a 116736+32256= 148992

8) Com esse número, podemos finalmente usar o ImDisk para montar a partição. Verifique que o ImDisk pede o offset da partição em bytes. Nesse campo, informamos o valor calculado acima. Logicamente, o arquivo usado é o .vdi. Prontinho, a partição desejada estará disponível com a letra escolhida no ImDisk.

9) Se você quiser pular toda a trabalheira e ciência acima, há um atalho. Basta buscar pela string NTFS a partir do início do arquivo .vdi (logicamente, se a partição a ser montada for NTFS). O primeiro a ser achado deverá ser um conjunto de bytes EB 52 90 4E 54 46 53. Esse é o offset da partição a ser montada. Lembre-se de pegar o offset em decimal. Outro detalhe: Essa dica rápida só funciona em NTFS. FAT, ext2, ext3, etc tem assinaturas diferentes.

Bem, fechando o artigo, eu diria que além do problema de só funcionar para arquivos .vdi fixos, essa técnica é por demais trabalhosa. Quer um atalho ??? O WinMount faz tudo isso automaticamente, só com um clique, e custa apenas U$ 40 doletas. Monta .vdi dinâmico e estático. Além disso, monta vmdk e VHD também. Uma pechicha e ainda vem com um trial de 15 dias.

Comentários ?

Para o próximo artigo, vamos explorar outras possibilidades de trabalho com arquivos de discos virtuais.

Até o próximo post !

Virtualizacão e CAINE 2.0 - Parte 2

2010-06-27T22:26:00.005-03:00

Agora vamos ver como se usa o resultado de uma aquisição forense em máquinas virtuais. Se você já leu o artigo anterior, sabe que estamos falando especificamente em como usar em nossa investigação um arquivo que é um disco virtual (vmdk, vdi, etc).

Primeira técnica: Montando um disco virtual no Windows

É muito comum termos ferramentas de investigação que só funcionem em Windows. Uma das opções quando queremos usar tais ferramentas é montar a imagem no Windows e usar nela os utilitários. Para montar um arquivo .vmdk usamos um utilitário chamado VM DiskMount. Esse utilitário pode ser encontrado disponível no site da VMWare e possui uma interface bem simples que permite que um arquivo vmdk ser montado, inclusive como read-only. Após ser montado, o conteúdo fica acessível em uma letra como um drive local. Para desmontar o disco virtual, há também uma aba com essa opção no VMWare DiskMount.

O ponto negativo é que essa técnica é dependente do utilitário da VMWare. Por conta disso, só funciona com arquivos vmdk. Para trabalhar com ela em arquivos .vdi, vamos tratar no próximo artigo.

Até o próximo post !

Virtualizacão e CAINE 2.0

2010-06-26T21:10:00.003-03:00

Vamos matar dois coelhos com uma só paulada.

Quem teve a oportunidade de participar do YSTS4 deve ter assistido a minha palestra sobre Virtualizacão. Vamos conversar neste post sobre dois pontos que citei na palestra.

O primeiro deles é sobre a facilidade que as máquinas virtual trazem no contexto da Computação Forense. É muito mais fácil criar uma duplicação forense de um disco virtual do que de um disco real.

Tomando por referencia uma duplicação post-mortem, a duplicação de um HD real pode ser tão simples quanto usar um software de aquisição forense diretamente na mídia desligada, ou então tão complicado quanto encarar um monte de discos em um RAID xxx. Dessa forma, mesmo o caso mais simples dá um certo trabalho. Porém, quando se trata de duplicar um disco virtual, todo o trabalho se reduz em realizar a cópia e o hash do arquivo que representa o tal disco (um .vmdk para VMWare ou .vdi para VirtualBox).

Outro ponto que citei na palestra é uma nova possibilidade de aquisição. Colocando de maneira bem simplificada, podemos fazer a aquisição post mortem e ter uma visão estática dos dados do HD, ou então podemos fazer uma aquisição conhecida como Live, onde o computador continua ligado. Essa segunda modalidade é mais rápida e tem o benefício de não precisar desligar a máquina, mas a visão dos dados é dinâmica. Isso traz imediatas consequencias, pois antes da aquisição chegar ao final, o conteúdo capturado do início da mídia já pode ter sido alterado. Com isso, o hash não será capaz de comprovar integridade com a mídia, por exemplo.

Nesse caso, a captura de uma imagem forense de uma máquina virtual oferece uma terceira opção. Ela funciona como uma semi-live. A idéia é bem simples, no fim das contas. Basta ir no gerenciador da máquina virtual e interromper a execução dela temporariamente. Em geral, o comando que realiza essa tarefa é semelhante a uma pausa. Pode-se interromper e retornar a execução de uma máquina virtual a qualquer momento. Ao interromper, o arquivo de disco virtual pode ser copiado normalmente. Ao fim da cópia, retorna-se a máquina ao estado de execução sem mais demoras. O maior benefício dessa técnica pode ser a possibilidade de ter novamente uma visão estática da mídia, além de permitir retornar a máquina bem mais rápido que no caso de uma aquisição post-mortem.

Falarei em breve de como utilizar arquivos capturados segundo as técnicas acima. Com o aumento no uso de servidores virtuais, essas técnicas serão cada vez mais úteis.

Comentários ?

Até o próximo post !

LiveView ganha irmão mais novo ...

2010-06-16T14:09:00.004-03:00

... e talvez tão útil quanto.

Eu já comentei aqui no blog sobre um utilitário que é capaz de criar, a partir de uma imagem raw (dd), um disco virtual para ser usado em qualquer máquina VMware. Na verdade, o LiveView cria toda a configuração de uma nova máquina que possa ser inicializada a partir da imagem. Além disso, essa máquina já vem criada com algumas facilidades voltadas para Forense Computacional. Por exemplo, a rede da máquina virtual fica desabilitada, de forma a impedir eventual propagação de malware. Além disso, ela já sobe com o snapshot ligado. Com isso, todas as modificações que podem acontecer serão descartadas e a imagem estará intacta ao final.

Até então, o LiveView era o único que oferecia funcionalidades com esse objetivo. Até então.

Um anuncio recentemente postado por Tasos Laskos avisa que há um novo software para esse mesmo fim (na verdade, semelhante). O raw2vmdk é um programa java que consegue converter um arquivo em formato raw para o formato vmdk, que é o disco virtual da VMWare. A bem da verdade, ele não converte de raw para vmdk, mas cria uma estrutura que permite o uso do arquivo .dd em uma vmware como um disco virtual que é baseado nela. Repare que o raw2vmdk não cria uma VM, nem suas estruturas. Apenas o disco virtual é criado. No entanto, o LiveView tem algumas exigências que o raw2vmdk não tem:

- O LiveView requer que o VMWare Server 1.x ou o VMWorkstation 5.xx estejam instalados; O raw2vmdk não depende deles;
- O LiveView não suporta VMWare 2.x; O raw2vmdk não tem problemas quanto a isso;
- O LiveView monta a máquina inteira, mas essa máquina virtual só roda no VMWare; O raw2vmdk cria o disco virtual apenas, mas que pode ser usado tanto em VMWare quanto em Virtual Box;

É possível partir do disco virtual criado pelo raw2vmdk e chegar no que seria o resultado final do LiveView. Entre outras coisas, será necessário verificar uma configuração de máquina virtual que consiga ser usada sem causar conflito no momento do boot. O snapshot precisa ser configurado na máquina virtual antes de ela ser usada pela primeira vez. Além disso, a interface de rede precisa ser desabilitada. Vai dar um pouco mais de trabalho do que os simples cliques do LiveView, mas pelo menos já se torna possível usar a estratégia com o Virtual Box.

Eu ainda não testei o produto, portanto ainda não consegui detectar se ele também faz a criação da tabela de partições, caso o arquivo .dd seja uma imagem lógica. O LiveView tem essa preocupação. Alguém já testou e viu se ele faz isso ? Comentem.

Até o próximo post !

Um pouco de filosofia

2010-06-09T08:56:00.003-03:00

Estava lendo a notícia da prisão do cracker que tentou extorquir dinheiro de um banco. Há algumas lições aprendidas nesse assunto e algumas delas batem com o que conversei com uma animada turma durante o almoço no YSTS. Estávamos exatamente falando de crime perfeito e a falsa idéia de que é possível dominar técnicas avançadas de anti-forense de tal forma que se consiga eliminar todos os rastros. Algumas coisas que penso sobre isso:

- O Princípio de Locard é uma grande verdade. Você pode apagar todos os vestígios, mas haverá vestígios dessa sua ação de anti-forense, e isso por si só já pode ser usado;

- O atacante não está, em geral, com domínio total do ambiente atacado. Ele pode estar há anos trabalhando no local e desconhecer algum detalhe que vai deixar rastros na sua tentativa de explorar uma falha ou invadir algo. Em geral, o atacante domina um servidor ou grupos, mas pode não conseguir determinar o grau de monitoramento que há no ambiente, e isso acabar colhendo vestígios que levarão até ele;

- No fim das contas, não há crime perfeito (felizmente) porque as pessoas que o cometem ou o planejam são imperfeitas. Sempre pode acontecer um imprevisto que deixe o vestígio (ou grupo deles) e os rastros do que foi feito;

- Há, além disso, o questão do elo mais fraco. Sempre se falou no elo mais fraco da segurança ser pessoas, inclusive isso é a frase de entrada em muitos artigos e apresentações sobre Engenharia Social. Muito bem, felizmente o elo mais fraco também está presente no atacante. Esse acontecimento mostra como um tecnicamente muito bom e preparado cracker caiu depois de uma atitude bem estúpida, impensável para muitos. Além disso, crime é crime. Se começou no âmbito virtual, não quer dizer que só vamos dispor de técnicas de Forense Computacional para pegar o suspeito. Como nesse caso, em algum momento o atacante vai deixar um rastro que o ligue à ação.

Além dessas reflexões interessantes, vou ampliar o nosso "momento filosofia" do blog para comentar alguns outros pontos.

Será que já não era hora de colocarmos nos currículos escolares assuntos sobre ética na informática ? Esse rapaz acusado de extorsão tem apenas 24 anos e é a segunda passagem pela polícia. Pelo que consta, aos 21 ele já esteve em outro incidente parecido, onde fez um acordo com um banco e respondeu o processo em liberdade.

A sede de conhecimento da adolescencia, aliada ao acesso à tecnologia que temos hoje, pode criar um ambiente sem controle que produza jovens altamente qualificados tecnicamente, mas que não transferiram os bons conselhos dos pais e avós para os meios digitais. Jovens que seriam incapazes de morder uma fruta em um supermercado, mas que entram em bancos e desviam fundos como se fosse brincadeira sem nenhuma consequencia.

Outro ponto importante é sobre a formação e produção nacional na área de Perícia Forense. Continuo insistindo nisso porque dizem que o Brasil possui os melhores hackers (entenda-se crackers) do mundo. Se isso é assim mesmo, precisamos urgentemente de também formar os melhores peritos do mundo. Caso contrário, não haverá equilíbrio nessa balança, e todo mundo vai sair perdendo.

Perguntas para se refletir: Como Forense Computacional está sendo ensinado nas nossas academias de formação de policiais ? E de Peritos ? E de oficiais das Forças Armadas ? E da área de Inteligencia ? Isso me lembra que perito não se forma rápido. Não dá para sair da faculdade e ser perito, pois na maioria das vezes, o conhecimento adquirido nas áreas de TI é fundamental. Vale o mesmo para os especialistas em Segurança de Informações, os white hackers.

Precisamos formar agora aqueles que vão defender digitalmente a nossa nação nas próximas décadas.

Comentários ?

Até o próximo post !

Novo CAINE vem aí

2010-06-08T08:40:00.001-03:00

Essa é uma notícia das boas. O melhor Live CD de Forense Computacional de todos os tempos está com sua nova versão no forno. Acabei de receber o aviso de que a versão beta do CAINE 2.0 está disponível para meu download e dissecação.

Ainda não me inteirei das novidades. Sei que estaremos com a versão mais nova do Sleuth Kit e também do Byte Investigator (que estou portando para inglês, a pedido da turma). Há também um novo manual disponível no desktop e um grupo de scripts, o Nautilus.

Vou baixar hoje e começar a brincadeira. Em breve, teremos esse campeão disponível.

Quem já usa a versão atual ? O que você mais gostaria de ver no CAINE ?

Até o próximo post !

Histograma

2010-06-03T18:49:00.005-03:00

O uso da linha do tempo para auxílio nas investigações de malware e invasões já está bastante disseminado e conhecido. Em resumo, nessa técnica pegamos os MAC timestamps (atributos de data/hora que indicam quando o arquivo foi criado, modificado pela última vez ou acessado pela última vez) e os ordenamos. Em geral, dado que temos uma idéia de quando aconteceu o incidente, podemos filtrar o conteúdo da linha do tempo de examinar a sequência de passos que pode ter sido usada na invasão ou infecção pelo malware.

Tudo bem até aqui ?

Acredito que sim, a menos que o investigador não tenha a menor idéia de quando pode ter sido o início do ataque/incidente. Analisar uma linha do tempo sem limitar as informações pode ser um processo penoso e até improdutivo. Outro ponto que complica, nesse sentido da quantidade de dados, é que a tendência atual é utilizar várias fontes de dados que contém data/hora e alinhar em uma única linha do tempo. Isso é ainda mais útil porque ajuda a perceber claramente a relação entre as ações do atacante (ou do malware), correlacionando melhor os vestígios encontrados. Nesse caso, logicamente temos muito mais informações para lidar e, sem a idéia de quando pode ter sido o início (chamamos de T-0 ou Time-0), a análise pode ficar comprometida.

É aí que entra uma outra técnica de análise: o histograma.

Um histograma é um gráfico que ilustra a quantidade de ocorrências em uma determinada série, ou unidade de tempo. Não faço a menor idéia se a definição correta e formal de histograma é exatamente essa, e que me perdoem os estatísticos se os deixei irado com essa explicação simplória, mas no fim das contas um histograma é exatamente isso.

No nosso caso, se fizermos um histograma das distribuições das MAC times, certamente haverá uma concentração maior de registros nas imediações do ataque, ou então notaremos um salto na quantidade quando a infecção estava no seu início. Isso porque temos, na prática, um certo padrão de uso nos computadores e servidores no que diz respeito aos arquivos, mas quando passamos por um ataque bem sucedido ou por uma infecção por malware, invarialvelmente esse padrão de uso vai se modificar. Vários arquivos serão atualizados ou acessados em um curto período de tempo, e isso salta aos olhos na análise via histograma.

Na prática, o histograma fica parecido com isso:

| #

| # #

| # # # # #

| # # # # # # #

-------------------------------------------------------------

Ou então, em um histograma vertical:

|##

|###

|######

|##

Não importa se vertical ou horizontal, ambos demonstram visivelmente que há um período onde o uso dos arquivos (seja na criação, modificação ou acesso) foi muito maior. Nesse período devemos concentrar os esforços e avaliações mais detalhadas na linha do tempo.

A fim de facilitar a criação do histograma, eu criei uma rotina em Perl que dá conta do recado. O script fshistog2.pl recebe como parâmetro de entrada um arquivo que é a saída do utilitário fls, do The Sleuth Kit, chamado normalmente de bodyfile. Esse arquivo é a primeira etapa da criação de uma linha do tempo usando o TSK. Logicamente, deve-se gerar o bodyfile para todo o sistema de arquivo da mídia sendo investigada.

Além desse parâmetro, o script tem a possibilidade de usar apenas uma das MAC times (apenas a data de criação, ou ultima modificação, etc), permite agregar (contar) as MAC times por ano, mês, dia, hora e minuto e, por fim, também pode-se usar todo o arquivo de bodyfile ou filtrar por datas. Ao final, o script gera em modo texto um histograma vertical.

Inseri esse script no meu projeto Byte Investigator, que está disponível para download no SourceForge. O link está aqui mesmo no blog, na seção de links interessantes.

Aguardo feedback nos comentários.

Até o próximo post !

YSTS4 - Revendo

2010-05-20T09:54:00.002-03:00

Descrever o YSTS não é tarefa fácil. Pense em uma combinação de boas palestras com bom público, e adicione uma organização impecável. Acabou ? Não ! O evento vai além, com um modelo inovador em um local bem escolhido, aliando networking e conhecimento técnico de ponta.

O evento começou com as palavras dos organizadores e, sem mais delongas, prosseguiu na palestra do Andrew Cushman, diretor da Microsoft. Andrew falou sobre o EMET e mitigação sobre alguns exploits usando esse toolkit. Mal a palestra dele terminou, entra em cena um tal de Tony Rodrigues, falando sobre Virtualização e Computação Forense. De olho no maldito cronometro (rs), eu falei sobre máquinas virtuais, seu crescente uso corporativo e como um perito/investigador digital pode ver essa tecnologia. Tratei de alguns aspectos em realização de Forense em máquinas virtuais, no uso de máquinas virtuais como ferramentas de trabalho, auxiliando o perito montando ambientes ou fornecendo praticidade à técnicas que já existiam, e por fim, comentei sobre como a praticidade de criação e destruição de máquinas virtuais pode ser usada por atacantes como anti-forense, além de algumas possibilidades de detecção dessas técnicas.

Nicholas Percocco, da SpiderLabs, mostrou logo em seguida o resultado do Global Security Report. Esse report seguiu a disponibilização de um paper sobre a pesquisa feita pelo grupo, após ter realizado em 2009 um considerável número de pen testes e investigações em incidentes. Foi um verdadeiro mapa de como anda a situação, nesse aspecto.

Breve intervalo para o bate papo e Alex Kirk, da SourceFire, vem falar sobre os novos avanços que a engine do Snort fez em detecção em client-side exploits, desde javascripts até os mais recentes PDFs mal formados. Logo depois, Luiz Firmino, do HSBC, fez uma das palestras que achei mais interessantes, comentando aspectos de rastreabilidade e resposta a incidentes em grandes corporações. Fiquei meditando em algo que Firmino comentou durante sua palestra, sobre ser importante que o líder do time de resposta a incidentes, que em geral é multidisciplinar e originário de várias áreas, receber a autoridade sobre a equipe no momento da crise. Já vi e também tomei conhecimento de crises que se alongaram por choques de poder entre o líder do CSIRT e o chefe de fato do membro da equipe. A bem da verdade, isso é mais um problema que aponta para a necessidade do comprometimento da alta gestão, deixando tudo devidamente apontado antes que um incidente aconteça.

Hora do almoço, open bar rolando e vamos para mais uma etapa. Chris Hoff (CISCO) falou sobre Cloud Computing, detalhando alguns aspectos ligados à segurança. Ryan Jones, também do SpiderLabs, fez uma palestra bem interessante sobre vulnerabilidades bem comuns na segurança física de datacenters. Cada coisa horripilante de ser encontrada, e com direito a fotos !

Joaquim Espinhara, pesquisador lá do Nordeste, veio com sua Pitu e seu framework sobre pen test para SAP. Mostrou algumas coisas bem interessantes, principalmente porque algumas empresas não investem tempo necessário para hardenizar adequadamente suas instalações ERP.

Antes que todos começassem a ver 3 palestrantes no palco ao mesmo tempo e falar "zuzzu bem", mais um intervalo e sobe o "mestre de cerimonias" Anchises (iDefense) para comandar o InfoSec Arena, uma inovação do YSTS4 que colocou a turma para debater temas escolhidos pelos próprios participantes, tudo com muito bom humor e algumas doses a mais de álcool :)

Fim do evento com chave de ouro promovido pela HCF (Hackers construindo futuros) e o tradicional leilão para levantar fundos.

That's it ! Se eu esqueci de algo, comentem !!

Até o próximo post !

Novo DEFT no ar

2010-05-05T16:15:00.002-03:00

A turma do DEFT trabalhou rápido e já está no ar a mais nova versão desse aclamado live CD de Computação Forense.

O site deixa especificado poucas mudanças. Na prática, a próxima versão, esperada para o final do ano, prevê algumas modificações significativas, incluindo a base do SO.

Por enquanto, as novas alterações são:

- Novas versões do SleuthKit e Autopsy;

- Correções de bugs no Dhash e DEFT Extra (a parte Windows voltada para IR);

- Nova versão (a mais atual) do Xplico;

Como eu já disse algumas vezes, essa distrô vale, sozinha, pelo Xplico. Nessa nova versão, há o suporte atualizado aos protocolos VOIP, permitindo a decodificação completa dos pacotes capturados em um pcap. Ou seja, com essa versão, o Investigador Digital captura pacotes em uma rede onde trafega VOIP e depois, com alguns simples cliques, consegue ouvir a conversa que rolou, completamente. Sim, com o Xplico você não vai precisar ficar perseguindo pacotes, o Xplico e seus Decoders fazem tudo para você.

Planejo fazer em breve um artigo mais completo sobre essa nova versão e também sobre o Xplico. Enquanto isso, alguém já baixou o novo DEFT 5.1 e quer comentar ?

Até o próximo post !

VIII GAMACOMP

2010-05-01T18:34:00.004-03:00

O VIII GAMACOMP vai estar acontecendo nos dias 3 e 4 de maio de 2010.

O Gamacomp é um fórum anual organizado pelos cursos de Ciência da Computação, Redes de Computadores e Tecnologia da Informação da Universidade Gama Filho.

Segundo o site, o evento tem como objetivo, o intercâmbio, aprimoramento, troca de experiências e divulgação de pesquisas na área de Computação e Informática, objetivando aproximar alunos, professores e profissionais de novas tecnologias, mostrando as tendências e o estado da arte neste campo. São realizadas palestras e minicursos com profissionais, especialistas e pesquisadores da área tecnológica.

Estarei por lá no dia 4, às 19h30, falando sobre Computação Forense usando software livre. A grade do evento, com as outras palestras e atividades, local e horários, pode ser vista aqui.

Até lá, ou até o próximo post !

Bulk Extractor

2010-04-15T21:09:00.004-03:00

Simson Garfinkel, pesquisador em Computação Forense e idealizador do formato AFF, acaba de lançar mais um excelente utilitário: Bulk Extractor. Na verdade, o utilitário já existia, mas foi completamente re-escrito.

Liberado para Windows e Linux, o Bulk Extractor tem a finalidade de varrer uma imagem forense em formato raw, AFF ou EWF (Encase) e extrair/localizar vários artefatos bastante importantes em investigações:

- Cartões de Crédito;

- Domínios;

- Endereços de email;

- Dados no formato da RFC 822;

- Pacotes TCP/IP em dumps de memória, pagefile.sys e hyperfil.sys;

- Números de Telefone;

- URLs;

- URLs de Busca (Google, Yahoo, etc);

- URL de serviços Web (Google, Webmails, Tradutores, etc);

Além desses dados, o Bulk Extractor monta uma wordlist com todas as palavras encontradas na imagem forense. Essa wordlist pode ser muito útil para ser usada como dicionário de dados no John The Ripper, para quebra de senhas, por exemplo.

O utilitário é bastante simples. Ele aceita um diretório de saída como parâmetro, bem como o nome do arquivo de imagem. Na verdade, o Bulk Extractor nem depende exatamente que o arquivo seja uma imagem forense. Ele opera em qualquer tipo de arquivo, extraindo as informações listadas acima.

Para facilitar a recuperação em caso de falhas no meio da operação, o Bulk Extractor trabalha em duas fases, de forma que se houver qualquer problema na segunda fase, o trabalho realizado na primeira (que é demorado, por natureza) não se perde.

Comentários ?

Até o próximo post !

Win32dd agora é MoonSols

2010-04-08T22:37:00.005-03:00

Já conversamos aqui no blog sobre alguns avanços em memory forensics, e como as pesquisas de Matthieu Suiche promoveram esse avanço. Dentre os produtos criados está um dos melhores utilitários para dump de memória que existem, o Win32dd.

Matthieu preparou algumas novidades. Através da marca MoonSols, um grupo de ferramentas voltadas para Windows Memory Forensics foi montado em duas versões: O Windows Memory Toolkit Community Version e a Professional Version. A boa notícia é que a Community Version é de graça. A Professional vai custar 500 Euros.

O Windows Memory Toolkit compreende um grupo de ferramentas de peso:
- Win32dd e Win34dd: São os utilitários que outrora já eram disponibilizados pelo Matthieu Suiche, e fazem dump de memória em alguns formatos além do raw;
- hibr2dmp e hibr2bin: Utilitários de conversão entre formatos de hibernação e raw ou o formato utilizável pelo Windbg (arquivos de dump de memória por crash);
- dmp2bin: Utilitário de conversão entre formatos (de crash dump para raw);

A versão professional possui algumas caracteristicas a mais:
- Conversão de dumps de memória 64 bit;
- Conversão de arquivos de hibernação do Windows 7;
- Conversão de dumps de memória do Windows 7;
- Usar o win32dd e win64dd em batchs/scripts;
- Uso do win32dd e win64dd em modo interativo;
- Conformidade com o UAC do Vista e Win7 para Win32dd e Win64dd;

Alguém já está usando e gostaria de comentar ?

Até o próximo post !

Novo SIFT também é Live CD

2010-03-27T08:49:00.005-03:00

A bem da verdade, virou um Live DVD. Essa é apenas uma das novidades trazidas na versão 2.0 do appliance virtual da SANS voltado para Forense Computacional.

Além dessa novidade, de termos disponíveis um Live DVD e um appliance virtual, a turma da SANS avisa que a VM foi completamente refeita, desta vez baseada em Ubuntu. Abaixo, uma lista de algumas funcionalidades e ferramentas disponíveis:

Suporta os seguintes sistemas de arquivos:

Windows (MSDOS, FAT, VFAT, NTFS)
MAC (HFS)
Solaris (UFS)
Linux (EXT2/3)

Tipos de imagens suportados:

Expert Witness (E01 - formato do Encase)
RAW (dd)
Advanced Forensic Format (AFF)

Ferramentas:

The Sleuth Kit

Simplesmente o melhor para análise de sistema de arquivos

log2timeline

Gerador de linha de tempo que expande as funcionalidades além dos MAC times

Regripper

Usado para resgatar valores do Registry

ssdeep & md5deep

Hash e fuzzy hash

Foremost/Scalpel

Carving de arquivos

WireShark

Network Forensics

Vinetto

Examina e lista conteúdo de arquivos thumbs.db

Pasco

Examina o history do IE

Rifiuti

Verifica arquivos INFO2 do Recycle Bin

Volatility Framework

Análise de artefatos em Memoria

DFLabs PTK

Interface para o Sleuth-Kit

Autopsy

Interface para o Sleuth-Kit

PyFLAG

Interface com várias funções de investigação

A turma vem reportando uma grande lentidão no download, então prepare-se e tenha bastante paciência. Alguém já baixou e tem algum comentário ??

Até o próximo post !

You Shot The Sheriff 4

2010-03-21T19:17:00.004-03:00

Um dos eventos mais comentados da comunidade de Segurança de Informações do Brasil vai ter sua nova edição. O YSTS 4 já tem data marcada e eu estarei lá para conferir. Aliás, não somente isso, porque estarei palestrando também !

O tema sobre o qual vou falar é Virtualização e Computação Forense. Minha idéia é falar sobre a reviravolta, no sentido mais positivo da palavra, que a virtualização trouxe para TI. Logicamente, onde há tecnologia, há formas de exploração e também benefícios. Vamos discutir sobre esse assunto por lá, em meio a altas concentrações etílicas e a possibilidade de virtualização da platéia também hehehe.

A agenda do evento está muito boa. Acompanhe maiores detalhes aqui. Além de Forense, vamos ter Cloud Computing, Segurança Física, Pen Test de SAP, Exploits avançados e outras coisas mais.

Vejo vocês lá, no dia 17 de maio. Quem vai ?

Até o próximo post !

Web Page Saver

2010-03-06T18:59:00.003-03:00

Quantas vezes, durante um processo investigativo, não precisamos obter uma "foto" de um grupo de sites, exatamente como eles estão naquele momento ? É muito comum.

A tarefa pode ser executada de maneira até muito simples. Basta digitar o endereço no seu browser, esperar para carregar a página, usar um capturador de tela ou mesmo o famigerado Print Screen, colar em algum software que manipule imagens e, finalmente, salvar no local escolhido e no formato escolhido. Nada mal, se não fossem os excessos de cliques e a espera por cada operação. Quando isso deve ser feito em conjunto com várias URLs, pode ser bem desagradável.

Para contornar isso, a JAD Software, mesma criadora do IEF, apresentou recentemente o WPS. O Web Page Server aceita uma lista de URLs digitada manualmente ou carregada a partir de um .txt, e executa todos os passos necessários para carregar cada página e registrar um snapshot dela. O arquivo originário pode ser gravado em local e formato escolhidos previamente.

A idéia pode parecer simples, mas vai poupar um trabalhão na hora da necessidade. Pena que o software, assim como a maioria na JAD, não é free ou open source. Ainda assim, faço questão de registrá-lo aqui porque os valores cobrados são bem acessíveis e convidativos. Em geral, são utilitários bem simples e muito eficientes.

Alguém já usa esse software ou conhece outro utilitário da JAD e gostaria de comentar ?

Até o próximo post !

Turma do dia 8 de Março confirmada

2010-02-25T12:35:00.000-03:00

A próxima turma começa em 8 de março, no Rio de Janeiro, com aulas no período integral. O curso tem duração de 40h com teoria e muita, muita prática, e ainda há algumas vagas disponíveis.

O conteúdo abrange Resposta a Incidentes na parte de captura e análise, e obviamente, Computação Forense em seus diversos aspectos. Neste ponto, o foco será na aquisição e na análise forense, com muitos exercícios práticos e estudos de caso. As práticas serão baseadas em software livre, principalmente em live CDs.

Para montar a ementa e o material, procurei aliar minha experiência como perito/investigador com minha experiência com ensino (já fui instrutor de cursos MOC, os cursos oficiais da Microsoft, já dei aula de banco de dados e, num passado distante, já montei um treinamento completo de Visual Basic, que na época ainda não era muito conhecido), e o resultado foi um material que está focado nas principais teorias e técnicas, tratando os assuntos com a profundidade na medida mais adequada à didática, e está recheado de exemplos e aplicações.

A TISafe, tradicional consultoria de Segurança de Informações do Rio de Janeiro com expertise diferenciado em criptografia e PKI, é minha parceira nesse treinamento. Ela também já oferece um treinamento de sucesso na área de formação de analistas de Segurança de Informações, o CFAS, do qual também sou instrutor, de forma que essa experiência será benéfica para o CFPF.

Se tiverem alguma dúvida, entrem em contato por email ou mesmo deixe um comentário aqui no blog.

Até o próximo post !

Brazuca no blog de forensics do SANS

2010-02-22T13:00:00.009-03:00

Minha falta de criatividade em títulos continua e agora eu "roubei" o título do micro-post do meu camarada Alexandre Teixeira, que viu a novidade antes mesmo de mim :) .

Há algum tempo recebi um convite para escrever para o blog de Forense Computacional que eu considero o mais conceituado do mundo no momento. Há diversos blogs muito bons por aí, mas o da SANS se destaca, principalmente porque é escrito por uma comunidade de peritos e investigadores digitais ao invés de apenas um escritor, como na maioria.

Ao receber o convite, além de ficar bastante lisonjeado, ocorreu-me que eu não tenho o certificado GCFA, da SANS, mas a turma que dirige o blog me deixou bem à vontade quanto a isso.

Hoje o meu primeiro artigo foi para o ar.

Para nós, o assunto não é tanta novidade, já que eu publiquei recentemente o texto antes aqui (Hashset de malware). Ainda assim, foi um grande motivo de orgulho estar publicando no mesmo veículo que alguns monstros da Forense Computacional mundial, como Rob Lee, Scott Moulton, Eoghan Casey e Craig Wright, entre outros.

Vamos ver os próximos artigos em breve ! Conto com o suporte de todos os amigos que me acompanham aqui no blog.

Até o próximo post, agora também em versão internacional :D !

** Alteração em 20/3 **

E não é que o artigo deu ibope ??

Agradeço todos os hits e espero continuar postando um conteúdo de qualidade por lá também.

Novo AIR no ar

2010-02-19T10:28:00.007-02:00

Minha criatividade para títulos está em baixa nesta semana, como todos puderam notar ... Ainda assim, Nanni Bassetti, meu camarada de equipe do CAINE acaba de anunciar a novíssima versão do AIR, um GUI para aquisição de imagens forenses.

Criado pelo Steve Gibson há algum tempo, o AIR sempre foi uma espécie de patinho feio das interfaces para aquisição de imagens. No Helix, sempre ficou à sombra do ADEPTO, e mais recentemente, foi um mero coadjuvante no CAINE, escondido pelo GuyMager. Não que a interface não cumprisse o seu papel, mas porque os irmãos de função acabavam por o ofuscar, oferecendo algum diferencial que levava a preferência da maioria. Na versão 2.0.0, no entanto, isso pode mudar.

A grande novidade dessa versão está por conta do uso do DC3DD. Embora eu não tenha verificado, acredito que o AIR 2.0.0 seja o primeiro GUI a abrir mão do DCFLDD e utilizar o novíssimo (e muito melhor) DC3DD como base de linha de comando. Isso quer dizer que tudo que o usuário escolhe e indica na interface gráfica vira uma enorme linha de comando, fora de questão o entendimento para a grande maioria dos mortais. Essa é a beleza dos GUIs, pois transformam a linha-mostro em algo factível e com menor possibilidade de erros. Até então, os GUIs existentes (Adepto, Air, Guymager) estavam focados no dd e no dcfldd para a tarefa. Agora, o Air-patinho feio vai reagir. Os benefícios ? Procure aqui no blog mesmo pelo artigo que já escrevi sobre o dc3dd. Ele é muito mais otimizado, possui código renovado e várias opções que facilitam a vida na hora de duplicar uma mídia de maneira forense.

O uso do dc3dd não é a única melhoria dessa nova versão. O AIR traz ainda o cálculo de hash da mídia por dois algoritmos distintos. Apesar de já termos fechado a questão sobre a polêmica de MD5 servir ou não para confirmar a integridade de uma imagem forense, a tendência vai ser mesmo a de usar dois hashs distintos e tirar qualquer sombra de possibilidade de, em um futuro próximo, criarem um algoritmo para atacar esse modelo e forjar imagens adulteradas como se estivessem integras.

Além dessas novidades, o AIR conta com a possibilidade de quebrar imagens em pedaços (split image), enviá-la pela rede enquanto faz a aquisição (usando netcat) e até mesmo compactá-la usando gzip. Não é a mesma compactação que o formato EWF ou o AFF possuem, mas já é alguma coisa no sentido de gastar menos espaço. Nesse caso, para ser manipulada, a imagem precisará ser descompactada. Já ia me esquecendo: o log dele é bem detalhado e contém detalhes sobre a sessão de aquisição, muito importante para copiarmos para o relatório final, laudo ou parecer técnico.

Abaixo, algumas telas do novo AIR:

Compartilhe conosco suas experiências com o AIR. Comente !

Até o próximo post !

Hashset de Malware

2010-02-10T20:43:00.005-02:00

Uma tecnica muito útil para um investigador ganhar tempo ou para ser alertado quanto a presença de arquivos maliciosos na máquina investigada é a filtragem por hashset.

De maneira muito resumida (já falamos nesse tópico aqui no blog), a filtragem por hashset permite, durante uma varredura pelos arquivos da imagem sendo periciada, eliminar do foco da investigação aqueles arquivos que são conhecidos e não poderiam ser relacionados com nenhum ponto ou problema da nossa investigação. Esses arquivos, conhecidos como known good, são os arquivos originais do sistema operacional, utilitários, programas e até mesmo imagens que fazem parte de pacotes comerciais ou não. Os arquivos known good podem ser reconhecidos através de um hashset, uma relação deles univocamente identificada pelo seu hash, em MD5 ou SHA-1. Durante a varredura, os arquivos cujo hash se encontram na base known good podem ser tranquilamente ignorados.

Por outro lado, seria interessante que durante essa mesma varredura pudéssemos ser alertados da presença inequívoca de um arquivo malicioso. Podemos atingir esse objetivo através de um hashset que reúna somente arquivos com reputação duvidosa, com malware, ferramentas hacker e códigos destrutíveis. Esse conjunto de hashs é comumente conhecido como known bad hashset, e a identificação também ocorre pelo hash do arquivo, em MD5 ou SHA-1.

Na verdade, o algoritmo nem precisa ser um desses dois. O que precisamos é ter a base de hashs (hashset) usando um determinado algoritmo de hash e varrer a imagem calculando o hash de cada arquivo neste mesmo algoritmo.

O problema surge exatamente aqui. A maior base pública de hashsets disponível é a NSRL, e curiosamente ela oferece, na mesma base, as duas classes: known good e known bad. Tomando como exemplo o sorter, se usarmos a base NSRL como known good, os arquivos maliciosos que porventura existirem na imagem serão ignorados. Por outro lado, se usarmos a base como known bad, seríamos alertados erroneamente em milhares de arquivos.

A solução desse impasse, enviada pelo colega Doug White do NIST, está em separar a base (que na verdade é composta por um conjunto de arquivos) em known good e known bad. Isso pode ser feito porque um dos arquivos que compoe a base possui um campo de classificação, e os arquivos known bad tem a classificação "Hacker Tool". Basta filtrarmos todos esses "Hacker Tool", jogando-os para um arquivo a parte, e teremos o Known Bad extraído da NSRL. Quem não tem essa classificação pode ser jogado em outro arquivo e será o Known Good.

Abaixo segue um código perl que fará a extração, conforme comentado:

#!/usr/bin/perl -w
# Extracts known good and known bad hashsets from NSRL
# uso: nsrlext.pl -n -p -g -b [-h]
#
# -n :nsrl files comma separated. Ex: -n c:\nsrl\RDA_225_A\NSRLFile.txt,c:\nsrl\RDA_225_B\NSRLFile.txt
# -p :nsrl prod files comma separated. Ex: -p c:\nsrl\RDA_225_A\NSRLProd.txt,c:\nsrl\RDA_225_B\NSRLProd.txt
# -g :known good txt filename. Ex: -g good.txt
# -b :known bad txt filename. Ex: -b bad.txt
# -h :help
#
#
use Getopt::Std;

my $ver="0.1";

#opcoes
%args = ( );
getopts("hn:p:g:b:", \%args);

#help
if ($args{h}) {
&cabecalho;
print << DETALHE ;
uso: nsrlext.pl -n nsrl_files_comma_separated -p nsrl_prod_files_comma_separated [-g known_good_txt] [-b known_bad_txt] [-h]

-n :nsrl files comma separated. Ex: -n c:\\nsrl\\RDA_225_A\\NSRLFile.txt,c:\\nsrl\\RDA_225_B\\NSRLFile.txt
-p :nsrl prod files comma separated. Ex: -p c:\\nsrl\\RDA_225_A\\NSRLProd.txt,c:\\nsrl\\RDA_225_B\\NSRLProd.txt
-g :known good txt filename. Ex: -g good.txt
-b :known bad txt filename. Ex: -b bad.txt
-h :help

DETALHE
exit;
}

die "Enter the NSRL hashset file list (comma delimited)\n" unless ($args{n});
die "Enter the NSRL product file list (comma delimited)\n" unless ($args{p});

die "Enter known good and/or known bad output filenames\n" unless (($args{g}) || ($args{b}));

my %hack;

&cabecalho;

#Prod files
my @prod = split(/,/, $args{p});

foreach $item (@prod) {
open(PRODUCT, "< $item");

while (< PRODUCT >) {
chomp;
my @line = split(/,/, $_);

#create a hash of hacker tool codes
$hack{$line[0]} = $item if ($line[6] =~ /Hacker Tool/);
}

close(PRODUCT);
}

#hashset files
my @hset = split(/,/, $args{n});

open(BAD, "> $args{b}") if ($args{b});

open(GOOD, "> $args{g}") if ($args{g});

my $i=0;

foreach $item (@hset) {
open(NSRL, "< $item");

while () {

#stdout feedback
print ">" if (($i % 10000) == 0);

my @line = split(/,/, $_);

if ($hack{$line[5]}) {
#is a hacker tool
print BAD $_ if ($args{b});
}
else {
print GOOD $_ if ($args{g});
}

$i++;
}

close(NSRL);
}

print "\nDone !\n";

close(BAD) if ($args{b});
close(GOOD) if ($args{g});

### Sub rotinas ####

sub cabecalho {
print << CABEC;

nsrlext.pl v$ver
Extracts known good and known bad hashsets from NSRL
Tony Rodrigues
dartagnham at gmail dot com
--------------------------------------------------------------------------

CABEC
}

#-----EOF-------

Comentários ?

Até o próximo post !

SQLJuicer

2010-02-05T22:58:00.001-02:00

Finalmente, o projeto sobre Forense de SQL Server andou e já tem até nome: SQLJuicer. No contra-exemplo do irmão SAMJuicer, que é uma ferramenta hacker que implementa técnicas anti-forenses, o SQLJuicer nasceu para ajudar a turma que topa com banco de dados em suas investigações e perícias.

O projeto está hospedado no Google Code e já tem uma equipe trabalhando nele. Apesar de estarmos nos primeiros passos, e ainda não estarmos com a ferramenta disponibilizada para todos, a ideia é lançar uma versão aberta tão logo façamos alguns testes com o time.

A título de refresh, já que eu comentei sobre esse projeto em um post recente, a idéia dele é obter informações sobre as operações CRUD (insert, delete e update) em um banco de dados a partir do Transaction Log. Em um primeiro momento, deixamos de fora as operações DDL, mas elas serão incluidas em breve.

Assim que estivermos prontos para publicar a primeira release, avisarei aqui. Se você quiser nos ajudar e contribuir com o trabalho, há espaço para todos. Precisamos de programadores Perl e Testers que conheçam SQL Server. Ainda que você não tenha um desses conhecimentos, pode ser útil no projeto, principalmente na organização e documentação.

Entre em contato comigo para maiores detalhes.

Até o próximo post !

Guymager

2010-02-04T22:14:00.006-02:00

Até bem pouco tempo, poderíamos dizer que havia duas ferramentas liderando o ranking das mais usadas na hora H da Forense Computacional, o momento da duplicação forense do HD (ou de outra mídia). Sem levar em consideração os softwares comerciais, onde o FTK e o EnCase vão liderar com vantagem, podemos dizer que há:

- DCFLDD na categoria CLI;
- ADEPTO na categoria GUI.

O dcfldd é uma variante turbinada do dd, e está aos poucos perdendo o seu trono para o novíssimo dc3dd, de Jesse Kornblum. Além das mesmas funcionalidades do dcfldd, o dc3dd permite algumas outras e já foi alvo de discussões anteriores aqui no blog, quando do seu lançamento. Entretanto, quero manter o foco dessa discussão na área gráfica: Para quem curte a facilidade de um ambiente GUI à linha de comandos, o Adepto do Helix é a pedida perfeita. Permite fazer a duplicação tanto usando o formato raw (sem formatação, para ser mais correto) ou o formato AFF. Através de algumas perguntas no início do processo, monta ao final da duplicação uma ficha de cadeia de custódia onde constam dados do investigador/perito, do caso e também da aquisição, inclusive indicando o hash calculado.

O grande problema é que o Helix não está mais tão confiável como Live CD como era antes. Depois da grande reviravolta no início de 2008, quando o mais famoso Live CD de Forense Computacional passou a ser software comercial, a estratégia da turma da e-fense passou a ser discutível. Provavelmente por conta de feedback recebido da comunidade que usava o produto, o Helix voltou a ser disponibilizado, mas a desconfiança está no ar desde então. Como diz um amigo meu "A natureza odeia vácuos", meio que de repente passamos a contar com várias opções ao que era oferecido no Helix. O Adepto agora tem um "concorrente" a altura, que atende pelo nome de Guymager.

Este novo utilitário GUI de captura de imagens forenses está muito bem bolado. Faz uso de multi-threading, o que coloca o produto com alguma vantagem sobre os demais quanto a velocidade de operação. Permite obter informações sobre os dispositivos conectados ao computador, e faz tanto a duplicação em formato EWF (EnCase) quanto AFF, além de raw, é claro. Há um extenso log da operação de captura, inclusive contendo alguns campos informados no início da operação. Esses campos também serão gravados como metadados (menos para raw).

Como nem tudo é notícia boa, o Guymager ainda precisa de algumas implementações. Peguei o endereço do criador do produto e mandei para ele algumas sugestões. Veja:

- Criar imagem forense de partições. Atualmente, o utilitário só cria imagens físicas;
- Montar uma ficha de cadeia de custódia, como no Adepto;
- Permitir enviar o conteúdo da imagem capturada via rede, mesmo que seja usando o netcat.

As duas primeiras, segundo Guy, já estavam sendo estudadas e ele me enviou uma versão beta que já contém a solução para a primeira sugestão. A última pode demorar um pouco mais, porém o autor me garantiu que vai implementar.

O Guymager está disponível tanto no CAINE quanto no DEFT, e também no FCCU. Há também pacotes .Deb para implementação dele fora dos Live CDs.

O que acham do produto ? Alguém que já o tenha utilizado gostaria de compartilhar comentários ?

Até o próximo post !

Fuzzy Hashset

2010-01-30T13:38:00.004-02:00

Notícia curta mas muito boa.

Já conversamos algumas vezes aqui no blog sobre fuzzy hash. Uma das capacidades dessa implementação hash é a possibilidade de indicar conteúdos "parecidos", ou seja, podemos indicar quanto um arquivo é próximo de outro usando-os em um algoritmo de hash fuzzy. O utilitário que calcula esse hash é o já conhecido ssdeep, que está na versão 2.3, novinha em folha.

Apesar desse software ter grande utilidade para a Forense Computacional, havia algo que há muito sentíamos falta: Um conjunto de hashs de referencia, usando o algoritmo fuzzy. Pois bem, depois de muitos pedidos da comunidade e pesquisadores, o NIST ouviu as nossas preces e lançou uma variação da já conhecida biblioteca/hashset NSRL contendo milhares de hashs pré-calculados usando o ssdeep. Eu ainda recebi a notícia em primeira mão pelo Doug White, um dos especialistas responsáveis pela NSRL.

Entre outras coisas, esse novo hashset vai permitir a aplicação de comparações e filtragem por hashset, mas usando uma técnica ligeiramente diferente da que já existe, para fugir dos casos onde houver anti-forense sendo aplicada.

Planejo um artigo mais detalhado sobre o uso dessa biblioteca/hashset em breve.

Baixe aqui o conteúdo.

Comentários ??

Até o próximo post !

O XML nosso de cada dia

2010-01-20T10:22:00.007-02:00

A tecnologia volta e meia aparece com modismos. O da vez pode ser considerado o Cloud Computing. Já perdi a conta de quantas vezes ouvi falar em palestras desse tema. Eu procurei, inclusive, ir à uma delas, e foi muito recompensadora, ministrada pelo guru do assunto, Cézar Taurion, da IBM.

O fato é que o modismo de hoje pode representar o nada de amanhã. Ou não ...
Algo que era um grande modismo há alguns anos hoje está plenamente estabelecido: XML. Havia um tempo que tínhamos XML no café da manhã, almoço e jantar. Colocava-se XML em tudo que se fazia, e houve de fato grandes evoluções nos sistemas de informação. Porém, como tudo na vida tende ou a amadurecer ou a desaparecer, o XML seguiu o caminho do bem e hoje quero falar de mais uma grande sacada dos pesquisadores: XML em Forense Computacional.

O autor dessa façanha já é um velho conhecido nosso. Simson Gafinkel já foi citado nesse blog várias vezes, principalmente pelo seu trabalho no poderoso formato AFF. Pois bem, não satisfeito com o bom trabalho de pesquisa que ele vem fazendo pela comunidade de Forense Computacional, Simson está lançando uma nova proposta de trabalho baseada em XML que pode trazer inúmeros benefícios.

A idéia é até muito simples: Ao invés de se constantemente operar com o Sleuth Kit sobre uma imagem, fazendo o parsing de seus outputs, ele propõe usar um programa que "passeia" pela imagem e a mapeia totalmente em um XML. A partir daí, ao invés de se gastar tempo em cada execução de utilitários do Sleuth Kit, você simplesmente percorre o XML gerado, buscando a informação desejada.

Entre vários pontos positivos da nova técnica, Simson destaca:

- Os outputs do TSK variam bastante, principalmente com a versão. Usando o XML, o seu programa fica menos vulnerável a essas mudanças;

- O XML facilita a transferencia de informações on-line, e por conta disso pode-se rodar o programa de mapeamento sobre uma imagem (ou mesmo live) remotamente, enviando o XML resultante pela internet. É a Forense Computacional Remota batendo à sua porta !

- É possível realizar redaction de uma imagem usando esse XML como base. Redaction é a técnica de eliminar informações sensíveis ou indesejáveis em um documento, deixando o restante dele disponível. Lembra daquelas famosas tarjas pretas em documentos oficiais liberados para o público ? Aquilo é redaction. Quando precisamos montar uma imagem para testes ou para fornecer a alunos, não é raro termos que apagar algumas informações importantes que não podem ir junto com a imagem. Para esse fim, há um programa/utilitário desenvolvido pela equipe do Simson que faz o redaction baseado em regras que lhe são passadas. Por exemplo, uma regra poderia ser "sobreescreva com 00h todos os setores onde for encontrado números na forma de cartão de crédito ou emails do domínio xxx.com.br";

- Criar um programa de análise a partir do XML, segundo Simson, é bem mais rápido do que criar chamadas aos utilitários do TSK e fazer o parse do output. Há algumas bibliotecas em python já prontinhas para uso;

- Há uma linha de pesquisa que vai produzir um programa de carving que se beneficia de análises realizadas a partir do XML da imagem forense;

- Há a possibilidade de criar pluging, que executarão durante a varredura que é feita na imagem, montando o XML. Um bom exemplo desses plugins são rotinas (sempre python) para extrair metadados específicos dos arquivos da imagem;

Veja um exemplo de nó XML para um arquivo da imagem forense:

O programa e a library que executam a varredura na imagem é o fiwalk, e pode ser encontrado no site da AFFLIB. Infelizmente, só tem versão para Linux até agora.

Alguém já usa o fiwalk e outros módulos ? Comente !

Até o próximo post !

TSK Novo

2010-01-16T22:07:00.005-02:00

Brian Carrier, o criador do SleuthKit, acabou de anunciar a mais nova versão do produto: 3.1.0.
Acompanhado de seu inseparável browser Autopsy 2.22, o open source mais famoso de Forense Computacional chega com algumas novidades":

• Suporte ao HFS+ (sistema de arquivos comum nos MAC)
• Suporte a mídias com tamanho de setor diferente de 512 bytes
• Informações sobre o SID de NTFS disponibilizadas (isso já era esperado há algum tempo)
• O conjunto de executáveis para Windows agora também vem com o mactimes
• Partições GPT e DOS são melhor detectadas
• Mais formatos da AFFLIB e suporte melhorado aos arquivos criptografados
• Sigfind consegue processar imagens fora do formato raw
• Suporte a blocos indiretos
• Muitos bugs corrigidos.

Essa deverá ser a versão que virá nos próximos Live CDs. Para quem precisa de alguma dessas novas funcionalidades e não pode esperar novas versões do seu live cd predileto, há algumas opções:

- Instalar o live cd e usar os comandos de atualização apt-get para gerar novos executáveis;
- Utilizar as novas versões para Windows, já compiladas e disponibilizadas.

Alguém gostaria de comentar sobre a novidade ?

Até o próximo post !

Turma do dia 25 de Janeiro confirmada

2010-01-15T19:20:00.002-02:00

A próxima turma começa em 25 de janeiro, no Rio de Janeiro, com aulas no período integral. O curso tem duração de 40h com teoria e muita, muita prática, e ainda há algumas vagas disponíveis.

O conteúdo abrange Resposta a Incidentes na parte de captura e análise, e obviamente, Computação Forense em seus diversos aspectos. Neste ponto, o foco será na aquisição e na análise forense, com muitos exercícios práticos e estudos de caso. As práticas serão baseadas em software livre, principalmente em live CDs.

Para montar a ementa e o material, procurei aliar minha experiência como perito/investigador com minha experiência com ensino (já fui instrutor de cursos MOC, os cursos oficiais da Microsoft, já dei aula de banco de dados e, num passado distante, já montei um treinamento completo de Visual Basic, que na época ainda não era muito conhecido), e o resultado foi um material que está focado nas principais teorias e técnicas, tratando os assuntos com a profundidade na medida mais adequada à didática, e está recheado de exemplos e aplicações.

A TISafe, tradicional consultoria de Segurança de Informações do Rio de Janeiro com expertise diferenciado em criptografia e PKI, é minha parceira nesse treinamento. Ela também já oferece um treinamento de sucesso na área de formação de analistas de Segurança de Informações, o CFAS, do qual também sou instrutor, de forma que essa experiência será benéfica para o CFPF.

Se tiverem alguma dúvida, entrem em contato por email ou mesmo deixe um comentário aqui no blog.

Até o próximo post !

Forense em SQL Server

2010-01-10T14:54:00.004-02:00

Com o amadurecimento da Forense Computacional como ciência e disciplina, era de se esperar que cada vez mais surgissem especializações em alguns assuntos específicos.

Um dos assuntos que recebem grande importância atualmente é a Forense de Banco de Dados. Qualquer sistema de informação atual usa um banco de dados para armazenar e tratar suas informações, e está em todos os esquemas atuais de arquitetura de SI. Como parte fundamental dessa arquitetura, nada mais natural que estudos apareçam para desvendar os vestígios das ações realizadas em um banco de dados. Não é incomum, por exemplo, que tenhamos esse componente em investigações de invasão e roubo de informações, pois em última instância, é lá que as informações ficam. Poucos são os que já militam nessa área, mas já despontam algumas pesquisas interessantes.

No final de novembro de 2009, li um artigo excelente sobre artefatos e vestígios em bancos de dados SQL Server. Na verdade, inicialmente eu li uma apresentação em PPT feita na Black Hat, e depois acabei descobrindo que o autor, Kevvie Fowler, adaptou a apresentação de um paper que ele mesmo produziu como resultado do trabalho da certificação GCFA Gold, da SANS.

O artigo detalha muito bem como é possível, apenas de posse do Transaction Log do Banco e sem nenhum outro log ativado, descrever as operações CRUD que foram realizadas nas bases de dados. Na verdade, existem vários produtos no mercado que permitem logar todas as operações em um banco de dados. Porém, o mais comum é chegarmos em um caso e não termos essa facilidade. No entanto, o Transaction Log estará sempre lá, pois faz parte da arquitetura do banco e por isso nem precisa de algum tipo de iniciativa por parte de nenhuma equipe. Logicamente, nem tudo estará lá. As operações de Select, por exemplo, não fazem parte do Transaction Log.

Como não estamos na País das Maravilhas, tinha de existir um "entretanto". Neste caso, o entretanto é que o Transaction Log não é publicamente mapeado. Há alguns softwares que fazem recuperação de dados através do transaction, e o que dizem é que essas empresas licenciaram as informações diretamente da Microsoft.

O artigo não aborda todas as opções possíveis de serem encontradas em um Transaction, mas dá um bom pontapé para um estudo no sentido de automatizar as operações de levantamento dos vestígios. Com isso em mente, iniciei uma linha de pesquisa para criar um script que pudesse automatizar os passos indicados no artigo do Kevvie. Troquei alguns emails com ele, e por fim o script está no que posso chamar de versão alfa. Ainda há algumas coisas a implementar e vários testes, já que são tantas possibilidades que não há como tratar tudo de uma vez só. É aí que entra a comunidade de Computação Forense, pois há poucos dias eu postei algo sobre esse assunto em uma lista de discussões internacional e vários profissionais se colocaram a disposição para ajudar. Em breve vou iniciar a discussão dos detalhes do grupo e ver como faremos para desenvolver novas funcionalidades e testar o script. Provavelmente, o script ficará instalado no SourceForge, mas ainda discutiremos isso com o grupo de trabalho.

Você gostaria de participar ? O perfil é de alguém que conheça SQL Server, para participar dos testes. Se conhecer Perl e SQL Server, poderá participar programando também. O resultado do trabalho será sempre distribuído como open source.

Entre em contato, aqui pelo blog ou pelo meu email, indicando que deseja trabalhar no projeto de Forense em SQL Server. Quanto mais interessados, melhor.

Até o próximo post !

Ano novo, cara nova

2010-01-02T10:07:00.002-02:00

Não sou designer nem acredito que tenha um gosto tão apurado em relação a layouts, mas manter a mesma cara o tempo todo cansa. Por isso, entramos o ano com um novo padrão e na esperança de termos, além de um ano maravilhoso, excelentes notícias e pesquisas para postar.

Para não ficar só no bla bla bla, aproveito para anunciar que Mark Mackinnon lançou nova versão do Parse Prefetch. Baixe aqui.

Keven Murphy também atualizou seu script de carving. Entre outras coisas, ele monta páginas em HTML com gifs animadas dos vídeos, DOCs e PDFs que encontrar (excelente para quem busca conteúdo indevido). Procure o script aqui.

No mais, FELIZ 2010 ! Esse ano promete. Quer comentar quais seriam os seus desejos para o novo ano ? Compartilhe conosco. Eu gostaria muito que a nova lei de crimes digitais saísse. Além dos benefícios óbvios para todos os brasileiros, isso vai expandir enormemente o nosso mercado.

Até o próximo post !

Presente de Natal

2009-12-26T09:07:00.004-02:00

O bom velhinho passou pela área de Forense Computacional e tirou do saco um bom presente. Trata-se da mais nova versão da excelente library do formato Advanced Forensic Format, a AFFLIB. Segundo Simson Garfinkel, a nova versão (3.5.5) tem as seguintes funcionalidades:

* Acesso transparente aos formatos AFF, E01 (EnCase) e split-raw;
* Integração transparente com o sistema Amazon S3;
* Criptografia real das imagens forenses usando passphrases ou PKI;
* Assinatura digital das imagens forenses;
* Suporte ao MD5, SHA-1 e SHA-256;
* Uso de arquivos de paridade a fim de permitir a recuperação de erros.

A nova versão roda (e foi testada) em MAC, Windows e diferentes sabores de Linux. Ela pode ser baixada aqui.

Alguém já usa esse formato e gostaria de comentar ? Eu penso que é o formato mais robusto e prático que existe no mercado, mas por algum motivo, ainda é bastante desconhecido.

Até o próximo post !

Ho Ho Ho

2009-12-24T10:00:00.001-02:00

Desejo a toda a turma que acompanha esse blog um Feliz Natal, cheio de evidencias e vestígios comestíveis, e que tudo constitua uma prova forte de uma família abençoada e saudável ! Que todos possamos determinar o 5W1H de como cada presente sob a árvore apareceu e, no fim das contas, trazer o amigo-oculto à luz ! :D

Grande abraço,

Tony Rodrigues

Café - parte III - DECAF

2009-12-15T20:31:00.004-02:00

A polêmica do COFEE continua. Na verdade, agora não exatamente por ele.

Um grupo acabou de lançar o DECAF, um utilitário que monitora a máquina e faz uma série de coisas caso detecte a tentativa de uso do COFEE. A alegação inicial da turma é sempre a mesma: prover instrumentos de manutenção da privacidade. No caso, o COFEE estaria do lado dos vilões, ironicamente.

A versão disponibilizada é a 1.02 e depende do utilitário devcon, da MS. Com ele, o DECAF retira do ar o que quiser, cancela conexões de rede, remove acesso a drivers, limpa o log de eventos e informações nos caches. Enfim, faz uma enorme bagunça.

É lógico supor que vai existir um modo de perceber o DECAF e evitar que ele se esconda do COFEE.

O jogo de gato e rato vai continuar ...

Há dois pontos causando polêmica sobre esse DECAF que gostaria de comentar aqui:

* Um deles é que alguns não consideram o DECAF uma ferramenta de anti-forense. Entretanto, apesar de sua finalidade principal ser obfuscar o uso do COFEE, ele nitidamente vai, se acionado, destruir provas, o que o faz entrar na categoria de anti-forense, com certeza.

* O segundo ponto é relativo às técnicas usadas. O aparecimento do DECAF promete trazer a tona uma série de novas ferramentas que, como os rootkits, escondem as evidências em real-time. Isso pode provocar um pensamento errado de que não é eficiente realizar o procedimento comum de busca de informações voláteis. Há até alguns papers que comparam esse procedimento com o dump de memória e afirmam que somente este último é necessário.

Eu discordo dessa linha de pensamento. Imagino que atualmente há tantas ameaças a uma investigação que tudo que pudermos usar para correlacionar os vestígios é válido. Logicamente que o tempo para fazê-lo e o conhecimento de quem estará na "cena do crime" precisam ser levados em conta. Mas acredito ser temerário tirar conclusões específicas.

Durante a minha palestra no H2HC, comentei sobre uma técnica anti-forense que utiliza rootkit de kernel para se esconder e é poderoso a tal ponto de detectar que um dump de memória está acontecendo e, literalmente, se esconder do dump. Como o código está no nível do kernel, ele simplesmente pode analisar tudo que ocorre e filtrar-se do dump. Essa técnica foi parar em um excelente artigo na Hakin9, escrito pelos amigos Rodrigo BSDaemon e Filipe Balestra, organizadores do H2HC.

Para lidar com essa técnica, sugeri que além do dump de memória, seja feita a aquisição do disco também. Caso exista comportamentos não explicados, a imagem da máquina pode ser usada em uma máquina virtual, bootando-a pelo disco. Quando a máquina virtual estiver a pleno valor, ela deve ser pausada e o arquivo da memória analisado. Dessa forma, o possível malware não teria como se esconder e apareceria na análise.

Essa técnica demonstra que imagem de disco ou de memória, por si só, não fornecem uma técnica completa. Ele enganaria o perito em uma Live Analysis também. No entanto, também não quero insinuar que, para cada caso, teremos que fazer milhares de procedimentos e depois sair correlacionando tudo. Acredito que alguns procedimentos devem ser feitos por padrão e se, durante a análise, a correlação com outros vestígios mostrar que algumas peças estão fora do quebra-cabeças, pode ser necessário retornar ao ponto de partida e obter mais informações, talvez finalmente desligando o micro e partindo para uma dead analysis.

Enfim, não há receita de bolo. Temos que ficar atentos e verificar se podemos parar na Live Acquisition/Analysis, ou avançamos para a análise post-mortem, ou ainda se a análise do dump de memória já basta.

Comentários ?

=== Atualização em 18/12/2009 ====

Os criadores da ferramenta participaram de uma entrevista no Cyberspeak, famoso podcast, e também estava na mesma edição o Ovie Carroll, Diretor de Cybercrime do DoD. Não escutei o pod ainda, mas parece que a ferramenta foi imediatamente retirada do ar pelos seus criadores ...

=== Atualização em 29/12/2009 ====

É, ao que parece, não foi por conscientização que a ferramenta foi retirada. A nova versão, 2.0, já está no ar e há também um press release, indicando os motivos pelos quais a ferramenta foi removida. Nesta nova versão, o DECAF saiu do pé do COFEE e está agora atuando também contra o Helix, o EnCase e alguns outros. O CAINE e o DEFT, que também tem módulos para Resposta a Incidentes, estão fora da lista dessa versão do DECAF. Alguém já baixou o código, produziu alguma análise e gostaria de compartilhar ?

Até o próximo post !

PeriBr

2009-12-10T16:13:00.010-02:00

Já falei brevemente sobre essa que é a mais nova distro brasileira em Live CD para Forense, comentando sobre alguns detalhes que li sobre a ferramenta. Agora é hora de passar as primeiras impressões, depois de alguns testes.

O boot tem opção de ir direto para o modo texto, o que pode facilitar aos mais avançados (e mais apressados também). Mesmo com a opção de boot pelo modo gráfico, achei a carga bem mais rápida que outras versões por aí.

Ele está baseado no Ubuntu, com kernel 2.6.28-15. O Gnome está na versão 2.26.1 e, como diferencial nessa parte gráfica, há um charmoso menu USP com tradução total para o português tupiniquim, o que vai facilitar muita gente. O teclado veio configurado corretamente para o meu US International. Não tenho aqui o ABNT2 para testar, e esse é o grande problema quando se fala em teclado, pois a maioria tem dificuldades com ele. Ainda assim, a exemplo do que a turma do CAINE implementou, há um atalho no desktop que permite a troca de teclado rapidamente.

O menu do PeriBr me impressionou positivamente. Há praticamente uma entrada para cada utilitário forense instalado. Mesmo se linha de comando, o menu abre uma tela com as options do utilitário, e em algumas vezes, abre também a página man. Além disso, um terminal root fica a disposição para que o comando escolhido seja digitado. A disposição do menu, além de separar por grupo de funcionalidades, também fornece um "tip" indicando o que a ferramenta faz. Isso é fantástico, já que não há Mb de cérebro que resista a quantidade de ferramentas que temos hoje na Computação Forense.

As melhores e mais conhecidas ferramentas estão presentes. Desde os xxxdeep, para hash, até o ssdeep, que nem todos os live cds trazem, temos Ophcrack, Wireshark, Guymager, dc3dd GUI e outros. Há vários utilitários para cada tarefa. Um ou outro está faltando nessa boa lista, incluindo o exiftool e alguma ferramenta para atividade de browser que não o IE. Falando em browser, o Firefox está a todo vapor, turbinando alguns dos melhores pacotes integrados disponíveis em Open Source: o Pyflag. Tudo bem que, para usá-lo bem, o live cd precisará ser instalado, mas isso vem sendo algo comum. Interessante que, na época do Helix baseado em Knoppix, era considerado sacrilégio instalá-lo ... Novos tempos ...

No melhor estilo dos comerciais das organizações Tabajara, podemos ainda dizer "Mas não é só isso !" ... Porque, além do Pyflag, a turma que construiu o PeriBr nos trouxe o PTK, o novíssimo browser/interface para o TSK. É o Icing on the cake ...

Pontos Positivos:

* Ferramentas em abundância;
* Menus em PT-BR;
* Política de montagem de volumes em coerência com as proteções de software forense;
* Pyflag e PTK, mesmo exigindo instalação.

Pontos Negativos:

* Versão 1.0 ... Isso chega a ser um fantasma. Será que o projeto vai romper a barreira e continuar ?
* Falta um site adequado, como no projeto do CAINE ou do DEFT;
* Roadmap divulgado. Isso pode ser um luxo para a versão 1.0, mas já seria uma boa forma de tranquilizar os usuários, dando mostras de que o projeto vai continuar;
* Ausência de suporte a ferramentas Python, ao RegRipper e o Volatility.

Espero que esse novo produto rompa com a barreira do 1.0 e vire um trabalho muito além de um trabalho de fim de curso. Toda a comunidade vai agradecer imensamente !

Comentários ?

Até o próximo post !

Tudo (ou quase tudo) que você sempre quis saber sobre Anti-Forense, mas não teve tempo de perguntar na palestra

2009-12-03T19:46:00.007-02:00

Vamos conversar um pouco mais sobre Anti-Forense e algumas maneiras de tratá-la. Esse assunto rende muito e, para falar sobre ele em 45 min, muita coisa tem que ser passada bem rapidamente.

Esculhambando as MAC Times

Um dos mais úteis instrumentos de investigação é a linha de tempo. Ordenar cada um dos eventos e sequenciá-los pode indicar o que aconteceu e ajudar também a chegar na causa de um incidente. É como ler um diário de bordo, só que nesse caso, quem o escreve são os programas do computador.

A timeline mais comum é aquela baseada no que chamamos de MAC times, atributos de data e hora relacionados com eventos de arquivos. O M diz respeito a data/hora da última modificação do arquivo; O A é relativo a data/hora do último acesso e o C é relativo a data/hora de criação do arquivo. Vale a pena reforçar duas coisas:

1) Isso vale para o NTFS. Outros sistemas de arquivos podem não ter esses atributos;
2) Há ainda um outro atributo, conhecido por E e se refere a data/hora da última alteração de atributos do arquivo.

Como a maioria das ações em uma máquina corre por acessar, alterar e criar arquivos, levantar e ordenar essas ações dão uma linha de tempo excelente. Pense em casos de invasão ou infecção por vírus. Uma linha de tempo com foco em uma faixa de datas aproximada pode indicar a causa, o vetor de entrada e até mesmo arquivos afetados que nem imaginaríamos.

Como a Anti-Forense tem por objetivo principal acabar com as técnicas, processos e ferramentas de Computação Forense, uma técnica bem específica foi moldada para "esculhambar" com a já famosa e muito utilizada timeline. Imagine o seguinte:

1) Alguém liga para o Service Desk da empresa e avisa que sua máquina está com um comportamento muito estranho. São 9h00;
2) A turma responsável dá uma olhada, determina que houve uma infecção por malware, não capturado pelo Antivírus instalado na máquina. Para verificar a extensão do dano e saber quantos arquivos foram danificados pelo vírus, uma timeline é montada;
3) A timeline revela que a infecção se alastrou depois de um certo arquivo ser criado na máquina, às 8h30. Esse arquivo foi "baixado" por engano pelo próprio usuário, que caiu em um phishing;
4) Ainda usando a timeline, filtrando-a entre 8h30 e 9h, soube-se que os arquivos X, Y e Z foram afetados pelo mesmo malware.

A situação acima ficaria fora de controle se o malware usasse a técnica de Anti-Forense descrita. Logo de início, a turma de investigação veria que há um download suspeito por volta de 8h30, mas esse arquivo está com data de criação de 3 anos atrás. A mesma data está registrada no último acesso e última modificação. Ele ficou de fora da linha de tempo montada com foco entre 8h30 e 9h. Os vários arquivos X, Y e Z também, já que inexplicavelmente, eles tem suas datas indicando o ano de 1601 como data/hora dos atributos.

Nesse cenário com uso de Anti-Forense, por outras técnicas poderíamos chegar ao vetor inicial e a causa da infecção, mas provavelmente os arquivos corrompidos X, Y e Z não seriam detectados.

Falando especificamente de Windows e NTFS, a turma da Anti-Forense Metasploit Project liberou um utilitário para esse fim. O Timestomp permite tanto zerar as datas dos atributos quanto modificar para um valor específico todos ou apenas alguns dos atributos.

Anti-Anti-Forense

Alguns pontos podem ser levantados para indicar a presença de técnicas Anti-Forense. Principalmente, leva-se em conta que a ação de subverter das datas dos atributos não leva em consideração que o atacante terá tempo suficiente para pesquisar e setar uma data falsa, mas que ainda mantenha a lógica dos valores. Por isso, algumas idéias:

1) O NTFS mantém os mesmos 4 atributos de data/hora em dois lugares. Há os MACE times gravados no Standard Information Attribute (SIA) e há os MACE times gravados no FileName Attribute (FN). Embora eu não tenha localizado uma documentação que claramente estabeleça a diferença entre as duas e quando uma ou outra é alterada, fiz vários testes de comportamento desses atributos e pude perceber que o comportamento lógico deles (ou seria ilógico) é que, em quaisquer das operações setadas, os atributos da FN são trabalhados primeiro que os da SIA. Portanto, é lógico que as datas/hora do FN sejam mais antigas que as do SIA

2) A resolução de horas dos atributos vão até os milissegundos. É muito comum que, ao subverter uma data, o atacante informe uma data/hora até, no máximo, os segundos. Dessa forma, os atributos ficam com os milissegundos zerados. Isso pode ser usado como característica de detecção. Não é uma técnica definitiva, pois alguns produtos, ao criarem arquivos, também escrevem horas indo até os segundos, e nesse caso, também ficam com os milissegundos zerados.

3) As datas de criação de um arquivo ordinário, em geral, não podem ser mais antigas que a data de formatação do sistema de arquivos (ou seja, a data de quando o disco foi formatado). Há alguns casos onde arquivos copiados/movidos de outras mídias podem ferir essa regra.

4) As datas dos arquivos não podem estar no futuro. Alguns atacantes se confundem ao setar a data, com as posições de dia e mês, e acabam por colocar a data do arquivo no futuro. Normalmente, isso nem seria notado, mesmo em uma linha do tempo, que em geral também é limitada nas datas onde acreditamos que o incidente tenha acontecido.

5) Quando a opção de data zerada do timestomp é usada, isso deixa o Encase sem indicar data alguma. No caso de acesso via utilitários, é comum que o ano apareça como de 16o1. Essa é a maior marca de que a máquina foi vítima de Anti-Forense. Esse é um dos poucos casos onde não conheço possibilidade de falso positivo.

6) O conceito de linha do tempo precisa ser expandido. Há muitos eventos acontecendo em uma invasão ou outro incidente, não podemos ficar focados apenas no que os arquivos dizem. Seguindo essa lógica, todas as fontes de informação que registram ações com data/hora devem ser alinhadas e ordenadas em uma linha de tempo, principalmente as fontes externas à maquina suspeita, onde o atacante teria menos controle e recebem menos atenção. Linhas de tempo bem completas podem incluir acionamento de arquivos executáveis e DLLs vindos de um Prefetch, uso de arquivos obtidos pelo Registry, logs diversos, eventos do Windows, etc. Tem data/hora, então pode ser útil. Um exemplo da aplicação desse conceito:

- O atacante usa o reg para baixar o SAM da máquina para um arquivo SAM.txt, sendo que ele falha na primeira tentativa. Ele o abre, verifica o conteúdo, e o envia para um servidor remoto via HTTP. Em seguida, o atacante remove o arquivo SAM.txt e usa o timestomp, zerando os MAC times do reg.exe.

Nesse contexto, uma linha de tempo que englobe os atalhos de Recent, o log de acesso do proxy e
o log de eventos do Windows pode colocar no devido lugar a ação de gerar um arquivo que foi acessado e enviado, mas não existe mais.

Eu criei uma rotina que verifica os atributos MACE dos arquivos e indica os que são suspeitos de Anti-Forense. Baixe-a no conjunto de rotinas do Byte Investigator.

Comentários ? Alguém que já tenha encontrado alguma dessas situações em uma investigação e gostaria de compartilhar como tratou o problema ?

Até o próximo post !

H2HC 2009 - Segundo dia

2009-11-29T20:20:00.004-02:00

O segundo e último dia foi bastante cheio. Em meio a turma que assistia às palestras e aos multi-tarefas que assistiam e ainda participavam do CTF desse ano, ainda havia um ou outro sorteio patrocinado pela turma de expositores.

Aliás, antes que eu comente sobre o dia, esqueci de falar sobre o grande sucesso que foi ontem o H2CSO. Segundo os organizadores, havia mais de 600 inscritos na sala virtual do evento. Um grande passo no amadurecimento e na profissionalização do nosso segmento;

- Novamente, perdi a primeira palestra e acabei chegando na palestra do Paulo Roizman sobre Ciber terrorismo. A palestra comentou, inclusive, sobre casos no Brasil;

- José Milagres veio logo em seguida com uma super palestra sobre legislação, hackers e ética nas questões periciais. Além de instrutiva, ao final dela tinha uma multidão querendo tirar dúvidas com ele. Isso é mais uma prova de como a turma está interessada nessas questões;

- Outros destaques ainda para a segunda parte da palestra do Nelson Brito, a palestra sobre W3af do Andrés Riancho e o outro ponto alto do dia, com o franco-carioca Jonathan Brossard e sua técnica "sinixxxtra" de patching para brute-forcing do truecrypt.

Aguardo comentários sobre o evento, principalmente sobre algumas palestras que eu não estive. Comentem !

Até o próximo post !

H2HC 2009 - Primeiro dia

2009-11-28T19:14:00.004-02:00

O evento desse ano começou impressionando pelo lugar. O hotel tem uma boa estrutura e localização. Há mais expositores e a sala de palestras é de muito bom nível, iluminação e som.

Como é de praxe, nem sempre dá para estar em todas as palestras. Vou comentar algumas:

- O Gustavo Scotti comentou sobre a arquitetura 64-bit e como algumas coisas não são tão seguras como se anuncia por aí. Foi uma palestra bastante técnica e mais voltada para a turma escovadora de bits.

- Bruno Oliveira matou a turma de tanto rir com seus casos de pentest usando Engenharia Social. A palestra não ficou só nisso, mas englobou também as grandes falhas/negligências encontradas no dia a dia e que acabam por invalidar a segurança do todo. Conclusão final: "People Sux" ...

- Weber Ress, também camarada da CISSPBR, falou sobre a história do Kernel e dos detalhes do Kernel do Windows. Foi uma boa palestra, mas confesso que não consegui prestar tanta atenção depois que meu camarada Filipe Balestra me pediu para adiantar a minha palestra, do Domingo pela manhã, para logo após a do Weber. Ou seja, enquanto o Weber falava, eu estava tentando lembrar dos pontos chaves de cada abordagem.

- A minha palestra veio em seguida. Falei sobre técnicas que subvertem a Computação Forense e como podemos detectá-las ou anulá-las. Fiquei surpreso ao reparar a quantidade de gente que ficou na sala, pois imaginava que esse assunto não daria tanto ibope assim. A receptividade foi boa, consegui passar o assunto todo e ainda deu para responder uma excelente pergunta do Dr José Milagres. Em seguida, almoço.

- Na parte da tarde, tivemos a palestra do Anderson Ramos, falando muito bem sobre privacidade e suas implicações no mundo de hoje.

- Nelson Brito fez a primeira parte de sua palestra e mostrou exploits para algumas vulnerabilidades antigas, mas com algumas modificações bastante interessantes. As musicas e o visual da palestra dele já valem.

- Sebastian Porst falou sobre o uso de REIL, uma espécie de meta linguagem que permite, entre outras coisas, facilitar a análise de códigos via reengenharia. Ajuda, inclusive, fazendo desobfuscação de código.

- Cesar Cerrudo veio da Argentina para mostrar uma novidade: A exploração de tokens como forma de aumentar os privilégios em um sistema. Não confunda esses tokens com os utilizados em 2-factor authentication. Estamos falando sobre códigos internos passados entre chamadas de funções do Windows e que indicam o nível de autorização recebido.

- Carlos Sarraute mostrou uma modelagem matemática formal para ajudar a priorizar ações em uma possível exploração de vulnerabilidades. Esse é o trabalho de tese de doutorado dele. Cálculos e mais cálculos depois, o Rodrigo completou dizendo que esse estudo dele já está sendo usado como forma de indicar para as empresas qual a vulnerabilidade que trará mais retorno para ser tratada/comprada.

- Nicolas Waisman comentou sobre a exploração de heap via bitmask. Essa foi mais uma bastante escovação de bit.

Saldo positivo no fim do dia, com bastante coisa na bagagem e a sensação de que "quanto mais sei, sei que nada sei" ...

Comentários ? Dê a sua opinião a respeito das palestras e do evento !

Até o próximo post !

Caine 1.5

2009-11-18T14:47:00.006-02:00

A turma do CAINE não me deixa descansar :)

Mal anunciei a nova versão 1.0 e suas funcionalidades e já temos a versão 1.5 - Shinning - com mais algumas turbinadas. A versão irmã para pendrive, NBCaine, também foi liberada.

Algumas ferramentas foram atualizadas, tanto no lado Windows como no Linux, incluindo algumas velhas dívidas, como era o caso do md5deep. O Kernel agora é o 2.6-24.25.

O Desktop recebeu uma cara nova e a possibilidade de troca de teclado mais facilmente, sem ter que digitar o comando. Um atalho também leva do desktop diretamente a um conjunto de scripts bastante úteis, alguns deles criados pela própria equipe do CAINE.

O Xteg (detecta esteganografia), Photorec e TestDisk foram parar no menu Forensics. O TSK já tinha sido atualizado na 1.0 junto com o Autopsy, mas este ultimo continua fora da path. O menu Altro recebeu o TkDiff, para comparações em arquivos texto, e o UUDeview, útil nas decodificações MIME.

Em relação à ultima avaliação que fiz, o CAINE continua mantendo os pontos positivos, enquanto que a equipe fez um compensado esforço para cobrir os pontos que consideramos negativos. A documentação vem cada vez melhor, o teclado é configurável, o boot pode ser direto em modo texto e as ferramentas disponíveis estão muito boas. Há ainda a falta de algumas, como por exemplo o RegRipper, Gigolo, Antivirus e o Volatility, mas eu conversei com o grupo e há razões para isso. Uma delas é que o custo de manter a parte de resposta a incidentes (WinTaylor) é alto, já que ocupa bastante espaço do CD. Pelo que conversamos, uma boa estratégia é montar mais de uma versão, fazendo com que sejam direcionadas. Para aquisição, podemos manter tudo em um Live CD com algumas ferramentas de preview e aquisição de disco e memória. Para análise, provavelmente estaremos indo para um Live DVD com muitas opções e ferramentas, incluindo as duas citadas mais o Xplico e outras disponíveis na web. A versão 2.0 já está sendo ansiosamente aguardada ...

Pontos Positivos:

- Atualizações constantes;
- TSK compilado com suporte a vários formatos;
- Muitas ferramentas disponíveis;
- Política de montagem de mídias formalizada;
- Facilmente instalável;
- Facilidade de entrada em modo texto;
- Pode ser usado pelo pendrive e complementado, se for o caso, pelo Perito.

Pontos Negativos:

- Ausência de algumas ferramentas de análise importantes (RegRipper, Jtr, ssdeep, Volatility, ferramentas de network forensics, etc) ;
- Documentação no site poderia conter um Roadmap.

Como podem ver, há poucos pontos negativos e a tendência é que cada vez mais essa distro melhore e tome o lugar de ferramenta free mais utilizada para Forense Computacional.

Comentários ?

Até o próximo post !

DEFT 5 ! parte II

2009-11-17T15:18:00.001-02:00

Finalmente consegui dar uma olhada na mais nova versão do DEFT. Não vou redigir novamente o que escrevi sobre ele, pois seria repetitivo. Você pode fazer uma simples busca e ver que já avaliei o DEFT 4.1, logo no início de 2009.

O primeiro teste falhou. Estranhamente, ele não subiu na VM que tenho configurada para a versão anterior, no QEMU. Tive de fechar e abrir uma VM no VMWare Server, e rodou prontamente.

Essa nova versão começa impressionando positivamente, já que o boot é bem rápido e cai direto no modo texto. Isso sinaliza que a ferramenta continua não destinada a novatos, mas isso não é um problema. Até porque perito não pode ser newbie, tem que saber se virar mesmo ... Outro bom ponto no boot é que se pode escolher o idioma e o layout de teclado, e isso ajuda quem está com o ABNT2 ou não manda tão bem no inglês.

O desktop foi mesmo completamente atualizado, está mais limpo e sem aqueles milhões de ícones das versões anteriores, que poluiam muito a tela. O menu está bem condensado e tem algumas das principais ferramentas.

A novidade da separação do Xplico vai permitir que existam versões especializadas. Uma delas vai ser mais aplicada a Disk Forensics, enquanto que a DEFT Vx5 vai ter o Xplico e será mais aplicada em Network Forensics. Como eu já falei recentemente, essa parece ser mesmo a nova tendência.

Pontos Positivos:

* Entra no modo texto e só carrega o GUI se for comandado. Isso faz o boot mais rápido e auxilia os mais acostumados;
* As atualizações continuam constantes. O bug lançado com a versão 4.2 foi corrigido bem rapidamente;
* Continua lançando produtos novos (SciTE e TrID), incluindo agora uma versão separada para Network Forensics;
* Vários utilitários ausentes na última avaliação foram instalados, como o Pasco, Galleta e Vinetto;
* O TSK está com suporte full aos formatos Expert Witness e AFF, e é a versão mais recente até agora disponível;
* A conexão via smb voltou ! O nome é bem sugestivo ... Gigolo.

É bom reparar que a maioria dos pontos positivos continuam sendo citados. Isso é uma boa característica.

Pontos Negativos:

* A versão em USB é cobrada. Não ficou claro para mim se o valor é para alguém que quer comprar um pendrive com o produto ou se é apenas para baixar o produto. Depois do Helix ter passado a software comercial (eles voltaram a disponibilizar uma versão free, acredito que perceberam o erro de estratégia), acho que fiquei um pouco neurótico com esses possíveis movimentos. Não é que não se possa cobrar por eles (o valor do DEFT é até muito acessível), a questão é que você se acostuma à maneira de trabalhar com a ferramenta, faz propaganda, valida, e de repente, ela não está mais lá ...
* Alguns utilitários importantes ainda estão ausentes. O ssdeep é um exemplo;
* Forense de memória e de Registry deveriam estar por ali também.

Abaixo, segue a listagem dos utilitários e ferramentas que estão disponíveis nessa versão ou estarão na DEFT Vx5:

Até o próximo post !

sleuthkit 3.01, collection of UNIX-based command line tools that allow you to investigate a computer
autopsy 2.21, graphical interface to the command line digital investigation tools in The Sleuth Kit
dhash 2, multi hash tool
aff lib 3.5.2, advanced forensic format
gpart, tool which tries to guess the primary partition table of a PC-type hard disk
guymager 0.4.2-1, a fast and most user friendly forensic imager
dd rescue 1.13, copy data from one file or block device to another
dcfldd 1.3.4.1, copy data from one file or block device to another with more functions
linen 6.01, Linux version of the industry- standard DOS-based EnCase acquisition tool
foremost 1.5.6, c onsole program to recover files based on their headers, footers, and internal data structures
photorec 6.11, easy carving tool
mount manager 0.2.6, advanced and user friendly mount manager
scalpel 1.60, carving tool
wipe
hex dump, combined hex and ascii dump of any file
outguess, a stegano tool
ophcrack 3.3.0, Windows password recovery
Xplico 0.6 DEFT edition, advanced network analyzer
Wireshark 1.2.2, network sniffer
ettercap 0.7.3, network sniffer
nessus 4, vulnerability and security scanner, client
nessusd 4, vulnerability and security scanner, server
nmap 5, the best network scanner
kismet 2008.05 R1, sniffer and intrusion detection system that work with any wireless card
dmraid, discover software RAID devices
testdisk, tool to recover damaged partitions
vinetto, tool to examine Thumbs.db files
trID 2.02 DEFT edition, tool to identify file types from their binary signatures
readpst 0.6.41, a tools to read ms-Outlook pst files
snmpwalk
chkrootkit, Checks for signs of rootkits on the local system
rkhunter 1.3.4, rootkit, backdoor, sniffer and exploit scanner
john 1.7.2, john the ripper password cracker
clam, antivirus 4.15

DEFT extra 2.0:

System Information
Drive Manager
Reg Scanner
Win Audit
ReSysInfo
USB Deview
Bluethoot View
User Assist view
WRR
My Event View
MSI
Curr Proces
Live Acquisition
FTK imager
Winen
MDD
Forensics Tool
WFT
Zero View
WFA
File Alyser
Nigilant32
USB history
Shell command
PC on/off time
Password Recovery
Asterix logger
PassworFox
Chrome Pass
IE PassView
Wireless Key View
Mail pass view
Incredimail Message Extractor
Networking
Web Browser
IE Cookie View
IE History View
Mozilla Cookie View
Mozilla History View
Mozilla Cache view
Opera Cache View
Chrome Cache View
Index.dat Analyzer 2.0
Historian
FoxAnalisis
Utility tool
Skype Log View
Home Keylogger
HexEdit
SDHash
WipeDisk
USBWriteProtector
Testdisk
LTF View
AVI screen
Hower Snap
VNC Viewer
Sumatra PDF
Putty
Pre-Search
Photorec
Notepad++
WinMD5sum
Abiword
Undelete Plus
Hash calc
IP Net Info
SysInternal
Access Enum
autoruns
diskView
Regmon
WinOBj
Filemon
ProceXp
TCPView
Rootkit Revealer

DEFT v5 features list:

incorruptibility of the partitions
incorruptibility of the swap spaces
linux Kernel 2.6.31
LXDE
apt-get system
vino
rdesktop
samba client
open SSH client & server
ntfs3g
lvm support
brasero
record my desktop
wicd network manager
speedcrunch

Mais café ...

2009-11-16T11:52:00.003-02:00

O assunto COFEE continua rendendo nas listas de discussão internacionais e também nacionais. Em uma das mensagens, Rob Lee (SANS, Mandiant) revela que conversou diretamente com alguém da equipe de desenvolvimento da ferramenta. Ao que parece, o motivo de colocar a ferramenta com distribuição apenas a LE não foi uma tentativa de "segurança por obscuridade", como muitos acreditaram (e que comentei aqui no blog). Dentre o grupo de ferramentas do COFEE há algumas destinadas a obter passwords da máquina, com ação comparável ao conhecido pwdump. A estratégia da Microsoft foi fazer a limitação por conta de evitar embaraços legais e processos pela existência dessas ferramentas. Ainda que o conteúdo tenha vazado, a estratégia aparentemente garante a defesa.

Outros pontos comentados:

- A ferramenta não é "Forensically Sound", ou seja, não trabalha dentro de métodos forenses aceitáveis em juízo. Isso não é nenhuma surpresa, até porque a ferramenta é destinada a Resposta a Incidentes, o que torna certas críticas sem sentido;

- Alguns a estão chamando de "Sysinternals Reloaded", mencionando que é apenas uma reunião de utilitários da Sysinternals. Vimos na avaliação anterior que não é apenas isso;

- Muitos comentam da inabilidade do COFEE de usar a rede para mandar as informações coletadas, assim como comentamos. O uso de um pendrive também é criticado, já que ele deixa marcas no registry. Particularmente, não apoio a questão da preferência por CDROM ao invés de pendrive. Um drive de CDROM nem sempre está disponível em máquinas, ao passo que praticamente todas tem entrada USB. Além disso, a existência da entrada no registry pertencente ao pendrive da investigação é facilmente documentável, do mesmo modo como precisamos inserir um processo na memória quando precisamos capturá-la. Se tudo está bem documentado, então pode ser logicamente explicado.

Alguém gostaria de complementar, comentando ?

Apenas para reforçar, gostaria de deixar claro que este artigo não tem, em nenhum momento, a intenção de induzir pessoas a procurar o produto, baixá-lo e usá-lo. Como a licença é LE, ao fazê-lo não sendo de uma força policial, o uso poderia ser considerado irregular e pirataria.

Até o próximo post !

IEF, JPEG Finder e más notícias

2009-11-15T18:12:00.006-02:00

Há poucos dias surgiu uma questão bastante interessante sobre capturar as conversas em MSN. Havia alguma dúvida se era possível ou não capturar os históricos se eles tivessem sido apagados ou não marcados. Falamos sobre a ferramenta IEF, que captura esse e outros artefatos específicos de Internet, e virou um papo bastante interessante e vale ser reproduzido aqui também:

Essa ferramenta (IEF) opera sobre vários artefatos produzidos em programas web, dentre eles as conversas de chat de alguns produtos. Esses artefatos possuem características que são semelhantes aos magic numbers. Com isso, é possível rastreá-los em qualquer stream de dados: - Em arquivos de um fs montado (nesse caso, os arquivos deveriam estar intactos e não apagados). Esse é o exemplo mais fácil e que, na verdade, nem requer detecção. - Em arquivos de dump de memória - No pagefile e no hyperfil.sys - Em pacotes pcap (com alguma adaptação do código ou trabalho posterior) E, finalmente, em imagens forense no formato raw. O ponto é que, ao renderizar o conteúdo para exibir na sua janela, o software permite que o conteúdo toque o disco, e depois o apaga. Nesse caso, as conversas (ou fragmentos dela) e todos os outros artefatos localizados (ou fragmentos) estariam nos espaços não alocados do disco, que constam da imagem forense. No fim das contas, esse software é apenas um carving mais esperto, pq é direcionado para itens que até então ninguém sabia como eram estruturados. Ele os localiza e monta. Se for somente para localizar, é possível que alguns desses artefatos sejam localizados por uma busca simples na imagem, usando o TSK. A dificuldade está em montar o que foi achado. Quem já pesquisou espaços não alocados e achou trechos de emails recebidos/enviados pelo gmail sabe do que eu estou falando. É tudo formatado, cheio de "]", "<", e tal ... Não é html puro como em alguns outros webmails por aí ... Em relação ao trabalho do Galileu, realmente é a mesma coisa. A diferença é que ele focou no WLM, e busca por vários artefatos além das mensagens. O IEF busca artefatos de vários outros programas, mas do WLM só traz as conversas. Eu estava no ICCyber de 2008, quando o Galileu apresentou o trabalho. Foi excelente, sem dúvida.

Logo depois desse texto, coincidentemente, o site do IEF anunciou uma nova versão ainda mais poderosa do IEF e um novo utilitário, o Facebook JPEG Finder. Eu já fiz alguns testes com esse último, e ele funciona muito bem se o Facebook for acessado pelo IE. Abaixo, um exemplo do relatório dele:

Funcionou certinho, o perfil é o meu, realmente.

Entretanto, fiz o mesmo teste usando o Firefox, e nada foi encontrado. Vou reportar o bug.

Como nem tudo são flores, no mesmo momento também vi que a empresa que fornece o IEF passou o software para comercial. Da versão 3 em diante, quem quiser tem que pagar alguns dólares. É bem barato, mas infelizmente é mais um software que era livre e agora virou comercial. Se essa moda pegar ...

Comentários ?

Até o próximo post !

CFIR

2009-11-14T22:40:00.003-02:00

Uma tendência muito comum em TI é ver plataformas crescerem demais e gerarem subdivisões, cada uma mais especializada. Não posso dizer que esse é o caso do que vou apresentar aqui, mas a ideia é a mesma.

Uma turma da Malásia acabou de lançar um novo Live CD para forense, chamado de CFIR (Computer Forensics and Incident Response). Pelo que foi passado pelos autores, o Helix era a ferramenta que o grupo usava mais, só que estava cada vez maior e não atendia quando pegavam uma máquina antiga ou com poucos recursos. Ainda por cima, segundo eles, há muita coisa desnecessária. Conclusão: Criaram uma versão Linux super-reduzida em Live CD direcionada para coleta e análise.

Algumas das características do CFIR realmente impressionam. Ele levou aqui na minha máquina algo entre 8 e 12 segundos para reinicializar. No Helix, você coloca para reinicializar e depois pode ir tranquilo a uma lanchonete lotada pedir aquele chá daquelas plantas que só cresce durante o verão russo, espera irem lá colher, fazerem o chá e na sua volta, dois anos depois, a máquina ainda vai estar entrando no modo gráfico.

É realmente um ponto interessante que não precisamos de todas as ferramentas disponíveis em um Live CD em cada trabalho. Seria interessante que tivéssemos Live CDs com foco no que precisamos, separados em XXX-Captura, XXX-Análise e , por que não, o XXX-Live, onde teríamos uma possibilidade de contar com todas as ferramentas. Esse seria mais exigente, talvez.

O CFIR não é a oitava maravilha do mundo, mas está nascendo agora, e nessa linha podemos ter alguns avanços muito bons. Ele está na versão 1.2, tem kernel 2.6.26 com base no Red Hat, e seu super-fast boot cai direto no modo texto. Digite startx e uma interface gráfica bem simples aparece, com algumas opções no menu. Tudo bem enxuto.

Não há documentação alguma do produto, mas dei uma boa olhada e, dentre algumas características, posso acrescentar:

- Browser Mimos-V
- PCMan File Manager
- GCView para visualizar imagens
- xpdf viewer, Hex Editor lfhex
- regviewer (browser de registry)
- antivirus
- wireshark
- nessus
- TSK 2.52

Há outras ferramentas de linha de comando, incluindo o dcfldd, o dd e o md5sum, mas a distro é realmente bem enxuta, com pouco mais de 100 Mb. É tão enxuta que nem o "more" colocaram, o que eu acho ruim. Está configurada para o teclado americano, ou seja, se você tem ABNT2, vai sofrer um bocado. Também detectei um problema com o Autopsy, se for acionado pelo menu da interface gráfica. Pelo terminal funciona corretamente. O Linen, pela interface, não deu o ar da graça e ainda por cima travou o terminal ...

Pontos Fortes:

* Boot extremamente rápido;
* Ocupa pouco espaço, fácil de baixar e atualizar;
* Direcionado para aquisição/coleta de imagens;
* Roda bem em máquinas antigas ou com pouca memória;
* Cai direto em modo texto, o que facilita para usuários avançados;
* Sem frescuras;
* Não monta automaticamente nenhuma partição

Pontos Fracos:

* Ausência de comandos importantes, como setxkbmap e more;
* Ausência de documentação;
* Não há uma versão "irmã" voltada para análise
* Voltado quase que exclusivamente para Dead Acquisition.

Alguém já está usando e gostaria de comentar ?

Até o próximo post !

DEFT 5 !

2009-11-09T12:34:00.004-02:00

Tem DEFT novo na área !

A turma acabou de indicar a nova release, bastante esperada desde a ultima, que corrigiu um bug bastante perigoso e foi comentado aqui no blog.

A estrutura mudou, de acordo com o site: Está baseado no XUbuntu com kernel 2.6.31, mas agora traz no mesmo CD o DEFT Extra, a parte Windows para Resposta a Incidentes, semelhante ao Helix. Há mais do que uma repaginação do desktop, já que ele agora usa LXDE como base. As ferramentas estão atualizadas com destaque para o TSK, que recebeu a versão mais nova até agora disponível.

A poderosa ferramenta de network forensics Xplico agora vem acompanhada de mais algumas muito boas, entre elas o Kismet e o nmap, além do sempre presente Wireshark. A mudança é que estes estarão disponíveis apenas na versão DEFT Vx5, que será especializada para network forense, e ainda não está disponível. Há também uma versão em pendrive, mas está não é free ...

Segue um screenshot da nova versão:

Em breve vou colocar algo mais completo sobre essa nova release.

Até o próximo post !

Derrubaram Café na mesa

2009-11-08T11:25:00.004-02:00

As listas de Segurança de Informações e Perícia foram sacudidas nesses dias com a notícia do "vazamento" do COFEE. Esse produto foi criado pela Microsoft e distribuído sem custo para Law Enforcement (basicamente, polícias). O vazamento acabou com a enorme aura que foi criada em torno desse produto.

No início, o burburinho era tanto que se acreditava que a Microsoft tinha criado uma super ferramenta para policiais, com tecnologia super nova e avançada. Segundo alguns, a restrição para distribuição apenas a LE era para impedir que detalhes da solução chegassem aos criminosos, e com isso pudessem impedir que contramedidas fossem criadas. Como diz o velho ditado de que segredo só é segredo enquanto apenas dois sabem, a estratégia de segurança por obscuridade provou não ser eficaz novamente. Por algum modo ainda não claro, o COFEE caiu na rede e está em tudo que é torrent por aí.

Esse episódio gerou uma grande quantidade de críticas assim que as pessoas puseram as mãos no produto. Findo o encanto, descobriram que não se trata de uma super-tecnologia nem algo de outro planeta, e agora passam a criticar o produto, taxando-o de simplório. Na minha opinião, quem o critica não entendeu bem o objetivo do produto. Para demonstrar isso, vou comentar um pouco mais de como ele funciona.

Para início de conversa, o COFEE realmente não é nada de novo. Pelo menos na sua idéia mais básica, já existem outros produtos que fazem a mesma coisa. O COFEE é, na sua essência, um produto para serializar comandos e colher os resultados, para depois serem analisados. O foco desses comandos é o que chamamos de dados voláteis, onde procuramos relacionar o estado da máquina e, posteriormente, analisar o resultado em busca de entender o ocorrido. Olhando dessa forma, o COFEE pode ser facilmente comparado a vários produtos estudados aqui no blog, incluindo o WFT e o FRUC/FSP. Todos rodam uma série de comandos e utilitários, captam as informações voláteis e geram reports finais para serem analisados. Onde o COFEE se diferencia ?

- O COFEE possui dois módulos. Um deles, com interface gráfica, é um módulo de administração. Possui duas funções principais: a geração de ferramentas e a exibição dos relatórios colhidos. A parte de geração de ferramentas é bastante inteligente. Enquanto que o WFT e o FSP configuram as ferramentas e comandos através de arquivos de configuração, o COFEE faz isso nessa interface gráfica. Com isso, é possível gerar um pendrive específico para cada caso a ser tratado, fazendo o seu uso na hora do incidente muito mais direcionado do que os outros. É lógico que esse mesmo comportamento pode ser obtido nos outros através da edição dos arquivos de configuração, mas no COFEE isso é muito mais automatizado e simples. Os comandos e utilitários podem, inclusive, ser alterados, e novos podem ser cadastrados;

- A montagem de grupos de comandos e utilitários pode ser salva no que o COFEE chama de Profiles. Com isso, pode-se selecionar rapidamente um profile específico a um incidente, criar o pendrive e usá-lo. Por exemplo, o time de policiais vai realizar uma operação que envolve apreender computadores de uma quadrilha que faz phishing; um profile específico para isso, contendo ferramentas que busquem vestígios de criação de phishing, deve ser elaborado e selecionado. Caso haja outra ocorrência semelhante, basta que o profile seja usado na geração do pendrive, ganhando bastante tempo. Novamente, essa funcionalidade pode ser obtida por outros modos no WFT e no FSP, mas levaria mais tempo.

- O módulo de relatórios possui alguns pré-montados que permitem correlacionar dados coletados por ferramentas distintas, algo que no WFT e no FSP precisaria ser feito "na mão", durante a análise;

- A documentação do COFEE é excelente, e torna o uso do programa extremamente simples;

- O uso do COFEE (pendrive gerado) na captura dos dados voláteis foi concebido para ser o mais simples possível. Realmente o é, e isso faz a ferramenta atingir o seu objetivo, de ser usada por pessoas que não tenham tantas noções de tecnologia. Basta inserir o pendrive no USB da máquina a ser investigada e pronto. Ele vai seguir em frente sem maiores interações. Os outros produtos que atuam nesse segmento necessitam de alguma interação com o usuário, algumas na forma de parâmetros, e isso no fim das contas pode requerer alguém com conhecimento prévio.

- Há alguns documentos de testes do COFEE dentre a documentação, indicando que o produto passou por inspeções diversas;

Parte ruim da estória

Sim, não se pode esperar que tudo seja perfeito. O COFEE tem algumas partes que não agradam:

- Não vi nenhuma opção de mandar os resultados coletados pela rede, como no caso do WFT e FSP, que usam o netcat. Os dados coletados são gravados no pendrive com as ferramentas;

- Como em qualquer caso de coleta de dados live, a máquina pode estar comprometida com rootkits que podem esconder dados importantes e também se ocultarem no processo. Logicamente, isso afeta a qualquer produto dessa natureza e não apenas ao COFEE;

- Os pendrives gerados e usados na coleta (chamados de runners) podem ser infectados e, na volta, acabar infectando também as estações onde os resultados são analisados. Nesse ponto, há uma estratégia de contorno interessante: Usar pendrives U3, colocando o conteúdo gerado pela interface do COFEE na porção CD do pendrive. Essa parte, além de ficar read-only durante o uso, poderia monitorar o que pode ser gravado no restante do pendrive, reduzindo o risco de trazerem malware para casa;

- A política de distribuição restrita aos LE. Eu posso entender os motivos, e em parte até concordar com eles. A prática, entretanto, só tem confirmado que esses segredos são difíceis de serem contidos e acabam por aumentar o interesse em sua divulgação. Essa prática também pode impedir o peer-review, tão importante nas validações forenses de técnicas e ferramentas.

Como eu disse anteriormente, quem critica o produto não o entendeu. Ele foi feito para fazer a mesma coisa que outros já faziam, mas de maneira facilitada, procurando ser acessível e operado mesmo por um policial sem conhecimento nenhum de Forense Computacional ou Resposta a Incidentes. Esse papel ele cumpre muito bem.

Alguém já usou o COFEE em uma situação real ? Saberiam dizer se as Polícias brasileiras também receberam o produto ? Comentem !

Até o próximo post !

Caine Team

2009-11-05T11:41:00.005-02:00

Se você der uma passada pelo site do Caine, vai notar 3 novidades :

- A versão mais nova do Live CD já está no ar. É o Caine 1.0 e já conversamos disso por aqui;
- A versão mais nova do Live USB também já está no ar. NBCaine 1.0. Eu vou falar desse produto em um outro post, já que ele merece essa exclusividade;
- A equipe do Caine está maior. Acrescentaram lá um tal de Tony Rodrigues ... :D

Essa novidade nasceu de um papo bastante construtivo que, de certa forma, começou com o post que colocamos aqui sobre o lançamento do Caine 1.0. Nesse bate papo, sugeri algumas coisas, e o Nanni me falou sobre o NBCaine e das possibilidades que esse produto tem para ser livremente estendido, coisa que o CD não permite por razões óbvias.

Aproveito para usar o blog como canal de sugestões para o projeto. Com certeza, muitos estão já fazendo uso do Caine em seus trabalhos e poderão ajudar nos testes e a propor melhorias.

Alguém quer começar com alguma sugestão ?

Até o próximo post !

Bug perigoso

2009-11-01T10:27:00.002-02:00

O site do DEFT anunciou há alguns dias o lançamento de uma nova release do seu famoso live CD. A nova release (4.2.1) não traz nenhuma novidade em termos de utilitários nem de ferramentas. Traz o acerto de um bug bastante sério que foi descoberto na versão 4.2

Um dos maiores cuidados ao trabalhar com a imagem forense é manter sua integridade. Essa integridade pode ser verificada por uma função hash aplicada antes e depois de manipulá-la. Se os valores forem iguais, tudo em paz.

Para manter a integridade, as ferramentas forenses precisam ter alguns cuidados. Entre eles, nunca montar os dispositivos e imagens automaticamente. Isso faz com que o investigador tenha o controle exato de como e quando montar a imagem, dessa forma protegendo a integridade através de comandos e parâmetros específicos. Ainda assim, há um certo inimigo da integridade: O journaling.

Essa é uma funcionalidade presente em alguns sistemas de arquivos, incluindo o NTFS e os ext. Sendo bastante simplório, o journaling é como um log de transações. As operações de escrita vão primeiro para o journaling, e depois são efetivadas pelo SO. É possível que um sistema, ao ser desligado de forma abrupta, possua transações ainda não efetivadas no disco. No próximo boot, em algum momento o SO vai detectar isso e promover as operações, de forma que tudo fique como deveria. Esse mecanismo pode se tornar um problema para os peritos se estivermos com uma imagem forense de um sistema de arquivos cujo journaling ainda possui transações pendentes. Se essa imagem for montada sem os devidos cuidados, uma das primeiras coisas que o SO vai fazer é ler o journaling, detectar as transações pendentes e mandar efetuá-las. Ou seja, adeus integridade: a sua imagem forense, mesmo aberta como read-only, vai sofrer alterações.

Para evitar isso, os live CDs normalmente compilam código do kernel do Linux com pequenas alterações. A parte que trataria do journaling, efetuando as transações, é eliminada.

É aqui que mora o perigo.

Em alguns casos, essa alteração do kernel não é tão simples e pode apresentar bugs. Volta e meia uns desses acontecem e causam bastante alarde na comunidade de usuários da ferramenta. Por volta do ano passado, se não me engano, o Helix apresentou um problema desses no HFS+. A bola da vez é o DEFT 4.2, com os sistemas ext3 e ext4.

Conseguiram detectar que o DEFT estava lendo e efetivando transações em journaling pendentes de imagens forenses baseadas nos sistemas ext3 e ext4. Embora isso só aconteça em condições bastante específicas, alguns podem ter sido prejudicados na questão integridade da imagem. Não chega a ser desesperador justamente porque, para o problema acontecer, várias condições precisam estar presentes. O investigador precisa estar trabalhando com uma imagem forense ext3 ou ext4 (pelo menos no Brasil, o mais comum são imagens NTFS) e ter o azar de haver transações incompletas no journaling. Isso aconteceria, por exemplo, em uma dead acquisition, se a máquina foi desligada sem os procedimentos normais, não dando ao SO a oportunidade de aplicar as ultimas transações do journaling. Em uma live acquisition, há ainda mais chances de acontecer, já que várias transações podem estar acontecendo no disco no exato momento em que a parte do journaling no disco está sendo capturada para a imagem.

O que fazer caso o bug tenha afetado uma imagem ? Bem, as boas práticas forenses mandam que nós trabalhemos sempre em uma cópia da imagem forense. Se o hash não bateu, por esse ou outro problema, pegue a imagem original e faça nova cópia, tendo antes o cuidado de entender como a integridade foi quebrada.

Não estavas trabalhando com uma cópia da imagem ??? Vais ter mais trabalho. Terás que fazer a aquisição da imagem novamente, rompendo o lacre da mídia original e efetuando a operação. Documente tudo, pois o acesso à mídia original terá de constar da cadeia de custódia.

Alguém já teve problemas relativos a isso e gostaria de comentar ?

Até o próximo post !

Caine 1.0

2009-10-30T14:25:00.002-02:00

Ainda está quentinho do forno. Acabou de sair a versão mais nova do mais promissor live cd de Forense Computacional disponível no momento. O Caine 1.0, agora sob liderança de Nanni Bassetti, traz algumas novidades:

- WinTaylor, interface para uso no Windows, com vários utilitários úteis em Resposta a Incidentes
- Página HTML para executar os utilitários do Windows (útil quando por alguma razão o WinTaylor não funcionar)
- Atualização do Ntfs-3g para a versão 2009.1.1
- Nova opção de boot: text mode.
- Atualização dos pacotes do Ubuntu 8.04
- Firefox 3.0.14
- Gtkhash, interface gráfica para cálculo de hash de arquivos
- Novidades nos relatórios: Adicionado campos de nome do investigador e caso
- Relatório traduzido em vários idiomas: italiano, inglês, alemão, francês and português (minha contribuição ao projeto)
- Documentação dos utilitários em formato html, exibida no start do Firefox
- Novas ferramentas

Já estou baixando o arquivo .iso, e tão logo possa, eu postarei aqui uma análise dessa nova versão.

Alguém já está usando-a ?

Até o próximo post !

Treinamentos - Novas turmas

2009-10-27T12:56:00.004-02:00

CFPF - Novas turmas

Trago boas notícias. O nosso treinamento em Forense Computacional - CFPF - está com novas datas e possibilidades. Além de turmas em horário integral e horário noturno, conseguimos expandir e agora oferecemos o treinamento em várias capitais.

Falando um pouco do treinamento, ele é baseado em software livre, em várias distrôs forenses como Helix, Caine e outros. Ministramos tanto a parte teórica quanto muitas práticas, além de abordar conteúdos de Forense Computacional e Resposta a Incidentes.

Clique no banner ao lado (ainda bem que não tento ganhar a vida como designer, hein ? hehehe) e verifique as datas e opções. Caso você tenha interesse, mas não tenha opções de datas interessantes, entre em contato comigo e podemos ver outras possibilidades, inclusive de treinamento on-site, para equipes inteiras de TI/InfoSec.

Até o próximo post !

PeriBr

2009-10-26T18:03:00.002-02:00

Tive uma grata surpresa ao ler um dos comentários no Forum Perícia Forense sobre o PeriBr, um live cd desenvolvido como trabalho de final de curso na UCB. Segundo Marcel Carvalho, que também é marido da criadora do PeriBr, Jaqueline Carvalho, o novo live CD possui as seguintes características:

* Estão embutidas ferramentas como PyFlag, PTK , Autopsy, Guymager e Dhash;
* O menu está todo categorizado de acordo com as fases de uma perícia;
* Embutido o menu USP (Ubuntu System Panel), traduzido para o pt_BR;
* Foram criados scripts para cada uma das ferramentas que exibe uma ajuda sobre elas;
* Não monta automaticamente dispositivos, e quando o faz por padrão fica com RO (read-only);

A grata surpresa vem pelos comentários, que transcrevo abaixo:

"Cabe aqui uma menção ao trabalho escrito da monografia em questão, que mostra um grupo de distribuições que foram usadas como base para o trabalho, entre elas o FDTK.
Uma diferença básica, e que está descrita como um problema da versão atual do FDTK, é o toolkit PyFlag que existia em versões anteriores e que na atual versão não está funcionando por problemas de incompatibilidade, outra diferença é o toolkit PTK que encontra-se
instalado no PeriBR e não no FDTK, mais algumas ferramentas da distribuição DEFT que foram incluídas no PeriBR e também não existem no FDTK.

Uma inclusão agradável, na minha opinião, foi o menu USP (ubuntu System Panel), que foi a base do MintMenu para quem conhece. Foi feita uma tradução para o pt-BR desta ferramenta, o que não existia ainda, e ela foi incluída no PeriBR. O MintMenu é muita mais agradável de se
operar, porém ele muda muito o Ubuntu, tentando transformá-lo no LinuxMINT ;)

Porém como disse anteriormente e é citado no trabalho escrito, a distribuição FDTK foi usada como base, além do DEFT, Helix, BackTrack, FCCU e o Caine. Também é feita uma referência elogiosa ao blog do Tony Rodrigues e ao seu trabalho em http://www.slideshare.net/tonyrodrigues/computacaoforense0800tony-rodriguesv1 de onde várias idéias foram tiradas.

A idéia de divisão por etapas da perícia foi baseada no trabalho do Aderbal e Neukamp, criadores do FDTK.

O trabalho de pós-graduação realizou a idéia dada por Tony Rodrigues: "Faça o seu". Ou seja, faça a sua distribuição com as ferramentas que te interessam. O objetivo final era criar uma distribuição com as ferramentas que o perito deseja ter. Mostrar que isso não era uma tarefa impossível, e passar um caminho a ser seguido aos que desejam criar seu próprio
conjunto de ferramentas."

Algo que eu disse e digo já faz algum tempo é que esse blog nasceu para ajudar. Ver que isso está de fato acontecendo, ao ponto de ser usado como referência para uma nova distrô forense e um trabalho de monografia, é mais que gratificante. É sentimento de missão cumprida.

O trabalho que foi referenciado pelo Marcel é uma compilação de vários estudos que fiz e coloquei aqui no blog. Ele acabou virando uma palestra, que inicialmente foi criada em inglês para uma conferência marcada para junho de 2009 em Lisboa, mas acabou não acontecendo. Por fim, eu a utilizei no CNASI do Rio de Janeiro, em março de 2009.

Eu aproveitei para enviar ao Marcel algumas sugestões para a versão 1.1:

1) Coloque o Wine e, a partir disso, vários utilitários Windows interessantes (nem todos funcionam; eu estou com uma idéia de um projeto para isso, seria bastante útil)
- Já falei aqui em um artigo recente de como o Wine pode ser usado com sucesso para permitir o uso de ferramentas Windows em ambientes Linux e, com isso, podermos unificar o conjunto de ferramentas de análise.

2) Compilar o SleuthKit com vários tipos de imagem (formatos) e sistemas de arquivos. O HFS está crescendo em uso e nem todas as ferramentas o compilaram
- A versão mais nova do Helix deu uma melhorada nisso, mas até bem pouco tempo, só se conseguia analisar imagens no formato AFF e Expert Witness no Caine.

3) Voltar com o SAMBA para o pacote. A maioria dos novos Live CDs o retirou.
- É muito útil nas trocas de arquivo via rede. Não é indispensável, mas sem ele ficamos sem uma opção interessante de captura de imagem para locais remotos.

4) Drivers de wireless. Isso vem sendo um problema para notebooks, já que na maioria das vezes nos conectamos via Wi-fi.
- É um grande problema. A maioria não carrega rede wireless.

5) Perl e Python + RegRipper e Volatility com plugins atualizados
- Nesses tempos modernos, Forense de Registry e de Memória são bastante úteis para um investigador.

Vou incluir mais uma que não coloquei no email: Suporte a teclado ABNT2. Quem comprou laptop no Brasil tem sempre um problema para ajustar o teclado ...

O projeto está hospedado no SourceForge. Clique aqui para baixar o arquivo .iso.

Em breve vou postar aqui uma análise do mais novo live cd brasileiro.

Comentários ? Algumas idéias a mais para o projeto ?

Até o próximo post !

Anti-Anti-Forense

2009-10-15T20:12:00.003-03:00

Esse é o tema sobre o qual estarei falando na 6a edição do mais importante evento Hacker do Brasil - o H2HC - Hacker-2-Hacker Conference. O evento será no final de semana de 28 e 29 de novembro, em São Paulo.

Já faz algum tempo que venho olhando esse assunto com atenção. A primeira vez que li sobre esse termo foi em uma palestra feita pela turma do projeto Metasploit. A palestra procurava expor fraquezas em algumas técnicas ou ferramentas usadas em Computação Forense.

Depois dessa palestra, anti-forense entrou para o abstrato. Tudo seria resolvido por anti-forense, e os peritos estavam com os dias contados. Não levaria muito tempo e todos aplicariam os conceitos que, por hora, apenas alguns Hackers Jedi conheciam. Com o passar do tempo, chegamos ao ponto de perceber uma certa disputa, quase um clima de guerra. Hackers que escrevem sobre o assunto desdenham dos investigadores e colocam as técnicas como imbatíveis. Os peritos, por outro lado, usam de grande ironia e expõem a questão como se fosse brincadeira de criança resolver qualquer coisa relacionada a isso. Vi muitos desses textos enquanto pesquisava alguns detalhes para a palestra.

Nem "rocket science" nem algo trivial. Anti-Forense deve ser visto como crítica construtiva e pode ajudar (e muito !) no combate aos crimes, uma vez que tira o perito de sua posição de conforto e o faz repensar nas suas técnicas e ferramentas. É com esse intuito que venho pesquisando algumas técnicas, principalmente como poderiam ser detectadas ou revertidas. O ponto comum nas técnicas de "contra-ataque" é que, em algum momento, algo aparece. Harlan Carvey costuma usar uma analogia com técnicas militares, onde mesmo o melhor e mais prudente snipper precisa fazer alguns movimentos, comer, dormir ... É nessa hora que ele pode se expor, e de forma análoga, quando o malware, o atacante ou o utilitário são usados, marcas e vestígios importantes aparecem. É só estar bastante atento a elas.

Espero vê-los por lá. Será uma boa oportunidade para conhecer a turma que acompanha o blog.

Até o próximo post !

Tempos modernos

2009-10-09T23:30:00.004-03:00

Esse post é quase off-topic. É um grande elogio e agradecimento à proximidade que a Internet nos trouxe.

Estava escrevendo um material para apresentar no H2HC quando tive uma dúvida. Postei a pergunta em dois fóruns internacionais que faço parte; Em um deles, fui atendido por um dos pesquisadores do NIST, Doug White, que entre outras coisas é responsável pela NSRL. A minha pergunta era exatamente sobre a NSRL oferecer ou não uma base de hashs fuzzy, já que eu tenho a base corrente, e só tem MD5 e SHA1 nela. Ele me informou que eles já tem os valores calculados, mas o hashset não está publicado por pouca demanda. Nós "conversamos" sobre isso e acho que vamos ter a base publicada. Comentei com ele sobre alguns detalhes da minha palestra e ele entendeu a importância e a relevância que a base terá. É só aguardar ...

Na outra lista, nova resposta ilustre. Quem me escreveu foi nada mais nada menos que Jesse Kornblum, o próprio criador do ssdeep e dos outros inúmeros "deeps" que temos. Além desse trabalho, Jesse também é o autor da Primeira Lei da Forense Computacional, que já tratamos aqui no blog.

Tanto um quanto o outro foram extremamente gentis e dispostos a ajudar. Não faz muito tempo, eu também estava trocando emails com Matthieu Suiche, autor de inúmeros utilitários de Forense de Memória, tais como o Sandman e o win32dd. Emails com o Harlan Carvey (o papa do Windows Registry) já se tornaram comuns e já escrevi aqui sobre ter consultado diretamente o pesquisador que quebrou o MD5 em um certificado digital.

Isso não é sensacional ? Ter ao alcance do teclado a opinião de verdadeiros gênios da nossa ciência ? A Internet faz mesmo o mundo ficar menor ...

Comentários ?

Até o próximo post !

Bad Sectors

2009-10-05T19:55:00.004-03:00

Li uma matéria bastante interessante na revista Digital Investigation. A matéria nem é tão nova assim (é de 2007) mas o assunto vale um reforço.

O sonho de todo Perito é chegar, depois de longas horas fazendo uma imagem forense, a uma tela informando que tudo terminou bem. Topar com bad sectors e/ou bad clusters pode ser uma grande dor de cabeça. O hash do dispositivo não vai bater com a cópia e ainda tem a possibilidade da operação parar e nos obrigar a fazer tudo de novo.

O artigo trata exatamente de um estudo a respeito do comportamento de algumas ferramentas de captura de imagem forense quando encontram bad sectors. O estudo foi feito por dois pesquisadores do NIST e usaram os seguintes critérios nos testes de ferramentas:

1) A ferramenta deve capturar todos os setores que não estejam ruins;

2) Ela deve identificar os setores que estão ruins na imagem;

3) Ela deve preencher com dados documentados os setores da imagem que são relativos aos setores ruins do dispositivo. Por exemplo, se um HD estiver com os setores 10,11 e 12 ruins (bad sectors), então esses mesmos setores da imagem deverão ser preenchidos com padrões reconhecidos e bem documentados.

Com esses critérios, a pesquisa realizou uma série de aquisições de imagens usando HDs com bad sectors devidamente mapeados. Vários utilitários foram usados nessas aquisições, e a forma de conectar o HD à estação forense também foi documentada (por firewire ou diretamente). O resultado não foi muito animador ...

Apesar de terem testado poucas ferramentas, fica nítido a falta de capacidade do dd e seus genéricos atenderem ao que foi especificado. Os que melhor saíram no teste foram o IXimager, do iLook e o dd do BSD. Os outros todos deixaram de ler setores bons que estavam nas proximidades dos setores ruins. Além disso, os setores da imagem relativos aos setores ruins do HD foram preenchidos com lixo pelo dd do FreeBSD (os utilitários dd baseados no Linux preenchem com zeros, corretamente).

A questão de não ler setores bons nas proximidades de setores ruins tem relação com tamanho do bloco de leitura. Imagine que o dd foi configurado para ler blocos de 4k e o HD sendo capturado possui um setor danificado de 512 bytes. Em determinado momento, a requisição de leitura irá falhar porque dentro do bloco de 4k lido estará o setor defeituoso de 512b. No fim das contas, todo o bloco de 4k na imagem receberá zeros, e não apenas os 512b realmente defeituosos. Dos oito setores dentro de um bloco, apenas um estava defeituoso mas todos os outros sete ficaram desperdiçados. Nesses sete blocos desperdiçados podemos ter dados importantíssimos para o caso, definindo-o.

O estudo não contemplou outras ferramentas, mas gostaria de citar que há um conjunto especialmente desenvolvido para tratar erros de leitura em bad sectors:

- RDD
- DD_Rescue
- ddrescue

Além de realizarem as operações normais de captura (dd), essas ferramentas podem trabalhar com tamanhos de blocos de leitura que podem variar, se encontrarem um bad sector. Dessa forma, no exemplo anterior, a ferramenta tentaria ler o bloco de 4k e ao receber o erro de leitura, ela tentaria novamente, agora com um bloco da metade do tamanho (2k). Se conseguir, ela avança com o processo; se não, continua a dividir o tamanho do bloco até que tenha sucesso na leitura ou chegue no tamanho mínimo de 512b. Pela lógica, a ferramenta não lerá apenas os setores que realmente estiverem danificados.

Além disso, as ferramentas podem ser configuradas para iniciarem a operação em sentido inverso, dos últimos setores para o primeiro. Em alguns casos, mesmo alguns setores ruins conseguem ser lidos dessa forma.

Comentários ? Alguém quer compartilhar suas experiências com essas ferramentas ou com bad sectors ? Participe !

Até o próximo post !

Recupera ou não recupera ?

2009-10-01T13:28:00.004-03:00

Um assunto balançou recentemente as estruturas de uma lista de discussões sobre Forense Computacional. Foi sobre um artigo e uma entrevista do CEO da Techfusion, uma empresa especializada em recuperação de dados. Nessa entrevista, o CEO alega terem conseguido recuperar dados apagados e sobre-escritos de um disco. Obviamente, isso causou um grande burburinho, primeiro porque foi em um caso famoso, onde os dados foram apagados enquanto estavam sob custódia da Polícia. Além disso, já há bastante "snake-oil" sobre esse assunto, muita gente diz que dá para recuperar e quem é especialista no assunto dizendo que não dá.

Esse assunto foi trazido na lista de discussões, e os especialistas lá conversaram sobre a entrevista. Dentre os comentários mais interessantes, cabe destacar:

- A opinião de todos é unânime em afirmar que não se consegue recuperar conteúdo sobre-escrito;
- O entrevistado, por ser um CEO, não tinha muito domínio técnico, e por vezes cometeu pequenas gafes técnicas;
- Alguns falaram sobre usar aquecimento/resfriamento como parte das técnicas, mas o Dr Craig Wright, experiente no assunto, negou que isso realmente ajude em recuperar arquivos sobre-escritos. Pode ser que ajude na recuperação de HDs que não leem por algum motivo, mas não recupera dados sobre-escritos.
- Além da re-afirmação de que não dá para recuperar dados sobre-escritos, um dos comentários mais interessantes foi o de que recuperar arquivos sobre-escritos pode ser possível. Apesar de tal recuperação não ser possível a partir de dados sobre-escritos, pode ser possível localizar fragmentos de um arquivo temporário que passara por um wipe. Por exemplo, um arquivo Word pode ser recuperado, mesmo depois de um Wipe, através do temporário que é aberto e depois apagado (aqueles arquivos que começam com um ~). Ou seja, não se recupera o dado sobre-escrito, mas é possível achar conteúdo que pertenceu ao temporário do arquivo, solto pelo disco.
- Ainda assim, o Dr Craig afirma que não seria o caso se um disco fosse passado por um processo completo de Wipe, já que dessa forma mesmo os fragmentos seriam também sobre-escritos.

Comentários ?

Até o próximo post !

Blog da SANS troca de endereço

2009-09-17T09:52:00.000-03:00

Aparentemente, andei cochilando quanto a isso. O endereço de um dos melhores blogs sobre Forense Computacional mudou e eu nem percebi, já que estou bastante atrasado nas minhas leituras diárias.

Bem, o link aqui do meu blog para o blog da SANS já foi atualizado. Se você consegue ler textos em inglês, esse blog é imperdível. Vale cada segundo lendo ...

Até o próximo post !

Vinho é um santo remédio !

2009-09-15T19:14:00.004-03:00

As ferramentas que usamos em Forense Computacional são muito importantes para atingirmos o objetivo. Elas permitem que possamos avaliar e examinar vestígios de forma adequada. Uma situação bem comum é quando estamos realizando uma perícia e precisamos avaliar um vestígio, mas as ferramentas necessárias para isso não estão disponíveis no SO que estamos usando. Ou seja, quando estamos usando um Live CD baseado em Linux e nossa imagem e vestígios estão disponíveis, tudo está indo bem. No entanto, podemos topar com a necessidade de uma analise que requer uma ferramenta somente disponível em Windows. Aí o caldo começa a engrossar ...

Há algumas estratégias desenvolvidas para tratar isso. Todas tem prós e contras. Vou tentar resumir:

1) Podemos extrair os vestígios da imagem, salvando em uma partição FAT que depois será acessada pelo Windows e suas ferramentas.

2) Podemos extrair os vestígios da imagem ou mesmo montá-la, colocando os arquivos acessíveis em um compartilhamento (via Samba). Pelo Windows, mapearemos o compartilhamento e acessaremos os artefatos/vestígios, completando as análises.

3) Podemos extrair os vestígios para fora da imagem e depois acessar a partição Ext2/Ext3 usando utilitários Windows que conseguem ler e recuperar arquivos dessas partições.

Como já disse, cada uma dessas estratégias possui limitações e situações indesejadas. Elas precisam ser bem conhecidas para que o perito possa escolher qual usar quando for necessário. As estratégias que envolvem retirar os vestígios da imagem podem requerer grande quantidade de espaço em disco, seja na partição FAT ou na Ext2/Ext3. As estratégias que usam compartilhamento vão requerer que as estações forenses estejam em rede. Um problema a mais é que o Samba foi retirado das versões mais recentes do Helix e do Caine. O FCCU oferece dificuldades a mais em relação à rede.

Há outra alternativa para o problema e que não possui as características negativas acima: Vinho !

Vinho ???

Wine é o nome de um programa para Linux que, segundo documentações do site, compatibiliza o SO Linux, origem de nossos Live CDs de Forense, com as aplicações Windows. A documentação tenta ser bastante enfática no conceito, afirmando que o Wine não faz emulação de código, nem cria algum tipo de máquina virtual. O Wine cria condições para que um programa Windows possa rodar em Linux, numa boa. Ele é comparado a opção de executar um programa criado para o WinXP dentro do Vista. As opções de compatibilização fazem, por debaixo dos panos, o mesmo que o Wine faz, no Linux; Elas criam o mesmo ambiente básico que o programa espera encontrar para poder executar.

O que é necessário ?

Uma conexão de internet funcionando para o Live CD. Isso porque, como nenhum deles traz o Wine, será necessário atualizar o SO e baixar o Wine antes de poder usá-lo. Vamos a um passo a passo, que deve funcionar da mesma maneira em todos os Live CDs. Eu testei no Helix e no Caine:

1) Em um terminal root, execute apt-get update
O Live CD vai buscar algumas atualizações para o SO diretamente da internet.
2) Execute apt-get install wine
Esse demora um pouco mais e no final garante que o wine esteja completamente instalado no Live CD.

3) Execute qualquer utilitário Windows: wine UTILITARIO.EXE
O Wine monta um ambiente simulando um C:\ e executa o utilitário.

A página de download do Wine oferece outras formas de download e instalação do Wine. Clique aqui para ver. Use a linha do Ubuntu Hardy tanto para o Helix quanto para o Caine.

Essa é uma das melhores maneiras de reaproveitar ferramentas e resolver a questão que coloquei acima, quando não temos ferramenta para o vestígio que queremos investigar, nem no Live CD, nem fora, pelo menos em Perl ou Python. Eu testei algumas ferramentas:

- WFA: Funcionou perfeitamente e em todos os módulos;
- FastResolver e IPNetInfo: Não apresentaram todas as informações;
- HashCalc e Pre-Search, ambos do Deft: Funcionaram perfeitamente;

O site do Wine mantém um database com informações de programas que foram testados e podem ser considerados compatível. Embora eu não tenha testado, não tenho grandes expectativas de que programas do tipo filemon ou regmon funcionem no Wine. Imagino que, por eles usarem capacidades bastante elementares do Windows, não sejam facilmente portáveis.

Nem tudo são flores

Além da questão da compatibilidade, que descrevi acima, há outro detalhe: Estamos lidando com um Live CD. Todo o processo de instalação se perde quando a máquina é desligada. Isso pode fazer com que seja necessário repetir o processo de reinstalação toda nova sessão de investigação/perícia. Podemos evitar isso com:

- Um esquema para perpetuar a sessão. Não cheguei a pesquisar essa opção, mas havia essa possibilidade no Helix 1.9;
- Usar máquina virtual, e dar uma "pausa" na máquina quando ela não for mais necessária. Quando ela for utilizada novamente, o restore vai garantir que ela esteja com o Wine lá;
- Usar uma versão instalada do Helix ou do Caine. Nesse caso, o Wine não vai embora quando desligamos as luzes da sala ...

Gostaria de ouvir comentários de quem já usa essa ferramenta. Quais são os utilitários forenses que você tem usado com sucesso ? Que estratégia para manter o Wine você usa ?

Até o próximo post !

WTF e Timestamps

2009-09-01T19:54:00.005-03:00

WTF não é um termo técnico, mas deve ser a expressão mais usada de 8 entre 10 Peritos e Investigadores em Forense Computacional. Li esse termo hoje em um artigo muito bom, que traduz a essência do que é ser Perito: Analisar bem os vestígios e saber como as ferramentas que temos nas mãos funciona.

A situação ocorre quando, por necessidade de uma ordem judicial, um micro é apreendido para ser investigado. O Perito já está de posse do depoimento do usuário/dono do micro, que entre outras coisas, diz que o micro é novinho em folha. Ele diz que tinha comprado um HD novo e decidiu instalar o Windows XP logo depois de um jogo na TV. Isso tinha acontecido no dia anterior ao micro ser apreendido.

De posse dessas informações, o perito anota no seu caderninho (é um cara bem antigo, não usa CaseNotes):

- Data da operação: Dia 1 de setembro.
- Data da instalação: Dia 31 de agosto, por volta de 18h30.

O Perito prossegue, analisando a imagem que foi feita da máquina, obviamente segundo o processo forense (ou seja, duplicação bit-a-bit). Ao analisar o Registry, encontra lá, dentro de muitas chaves, a que informa a hora exata da instalação do Sistema Operacional:
HKLM/Software/Microsoft/Windows NT/CurrentVersion/InstallDate: 31/08/2009 22h30. Como bom Perito, ele sabe que essa hora está no formato GMT e logo deduz que o vestígio encontrado indica que a instalação do SO ocorreu em 19h30 (Hora de Brasília).

- "Bem", ele pensa, "estamos indo conforme o depoimento, tudo ok até aqui". O próximo passo é olhar timestamps do NTFS, para montar seu timeline. Antes disso, passeando pelo Autopsy, ele decide verificar o timestamp dos objetos do NT ($MFT, $LogFile e outros). Ora, se tudo estiver correto, o timestamp deverá indicar por volta de 18h30, já que entre a criação do sistema de arquivos e a finalização da instalação do SO, temos por volta de uma hora. Ele anota a data/hora e, sabendo que todas estão em notação GMT, converte-as para o nosso fuso horário e tem o resultado: 31/08/2009 15h33.

WTF ???? (O artigo é em inglês, então faça um exercício de imaginação sobre essas siglas aí ...)

O que poderia estar acontecendo ??? Então o dono da máquina iniciou a instalação às 15h33, com a formatação do HD novo, e ela só foi terminada mais tarde, por volta das 19h30 ?? O que houve no meio do caminho ?? Ele teria mentido sobre o que aconteceu ????

A resposta é um sonoro não !

O caso é que, como a formatação é uma das primeiras coisas que acontecem na operação de instalação de um SO novo, no momento da criação dos objetos do NT, o programa de formatação não tem ainda a referencia ao fuso horário. Essa informação só fica estabelecida posteriormente. Por conta disso, ele pega a data da Bios e grava ela nos timestamps diretamente, sem nenhuma conversão. Quando a instalação é finalizada, ao escrever essa informação no Registry, o fuso já é conhecido. Portanto, o SO pega a hora da BIOS e converte para GMT, gravando-a em seguida.

Assim, mesmo que a regra geral seja de que os timestamps do NTFS estão todos em GMT, temos a exceção: Os timestamps dos objetos de NTFS criados em uma formatação antes da instalação do SO estarão em horário local.

Dessa forma, a hora que o Perito viu (18h33) não precisava ser convertida (no nosso caso, subtraindo 3 para usar como hora de Brasília) . 18h33 foi a data/hora correta de formatação do HD, conferindo com o depoimento.

Moral da História: Cuidado com conversões de timestamps, principalmente quando os utilitários as fazem automaticamente.

Pergunta de prova: O que aconteceria se, ao invés de uma instalação novíssima, do zero, estivesse sendo feita uma formatação completa para uma reinstalação ? Comente !

Até o próximo post !

Treinamento em Forense Computacional - CFPF

2009-08-20T20:28:00.003-03:00

Pessoal, o site da TISafe traz novos detalhes em relação ao nosso curso de Computação Forense. Veja no item CFPF - Curso de Formação de Peritos Forenses Computacionais.

A próxima turma começa em 13 de setembro, no Rio de Janeiro, com aulas no período noturno. O curso tem duração de 40h com teoria e muita, muita prática.

O conteúdo abrange Resposta a Incidentes na parte de captura e análise, e obviamente, Computação Forense em seus diversos aspectos. Neste ponto, o foco será na aquisição e na análise forense, com muitos exercícios práticos e estudos de caso. As práticas serão baseadas em software livre, principalmente em live CDs.

Para montar a ementa e o material, procurei aliar minha experiência como perito/investigador com minha experiência com ensino (já fui instrutor de cursos MOC, os cursos oficiais da Microsoft, já dei aula de banco de dados e, num passado distante, já montei um treinamento completo de Visual Basic, que na época ainda não era muito conhecido), e o resultado foi um material que está focado nas principais teorias e técnicas, tratando os assuntos com a profundidade na medida mais adequada à didática, e está recheado de exemplos e aplicações.

A TISafe, tradicional consultoria de Segurança de Informações do Rio de Janeiro com expertise diferenciado em criptografia e PKI, é minha parceira nesse treinamento. Ela também já oferece um treinamento de sucesso na área de formação de analistas de Segurança de Informações, o CFAS, do qual também sou instrutor, de forma que essa experiência será benéfica para o CFPF.

Estamos verificando a possibilidade de termos o treinamento em outros estados além do Rio de Janeiro, bem como turmas in-house. Se tiverem alguma dúvida, entrem em contato por email ou mesmo deixe um comentário aqui no blog.

Até o próximo post !

Byte Investigator III - OLEmergeSearch

2009-08-18T14:30:00.005-03:00

Acabei de atualizar o pacote de scripts Perl Byte Investigator com uma rotina que vasculha em uma imagem forense, separando todos os arquivos Office, e em seguida testa cada um deles procurando por multiplos streams, o que pode indicar tentativa de obfuscar informações.

A rotina OLEmergesearch.pl usa o sorter, do TSK, para localizar os arquivos Office, e usa também o script perl OLEmerge.pl, do próprio Byte Investigator, para detectar as streams em cada arquivo. A resposta informa o inode de cada arquivo e quantas streams tem. Os arquivos que acusarem mais de uma stream devem ser extraídos e verificados com mais detalhes.

A rotina pode ser encontrada aqui

Até o próximo post !

Byte Investigator II - OLE Structured Storage

2009-08-15T14:03:00.003-03:00

OLE Structured Storage é uma estrutura de arquivo bastante interessante. É baseada no conceito recursivo de diretório e arquivo. Um diretório pode conter vários arquivos e outros diretórios. Um arquivo (stream) é onde fica o conteúdo propriamente dito. É simples assim.

Várias aplicações escolheram esse formato para seus arquivos. Dentre elas, o Registry e os arquivos do Office (.DOC, .XLS e .PPT).

Especificamente sobre os arquivos do Office, essa característica dá margem a uma estratégia de obfuscação bastante interessante. Como um diretório pode conter mais de uma stream (ou arquivo) é possível juntar um arquivo dentro do outro, de forma que fique oculto. Por exemplo, podemos colocar uma planilha do Excel dentro de um documento Word. A visualização de conteúdo é determinada pela extensão do arquivo; Ou seja, se a extensão é a .xls, vemos a planilha ao dar um duplo clique no arquivo. Se a extensão for um .doc, o Word é carregado e o que seria o documento pode ser acessado.

Esse comportamento é muito útil em alguns casos maliciosos e se torna ainda mais interessante por quase não ser divulgado. Um funcionário pode usar esse estratagema para subtrair uma planilha confidencial, bastando para isso mesclá-la internamente com um .doc inofensivo (um currículo, por exemplo). Quer ver o currículo, coloque a extensão .doc; quer ver a planilha, troque a extensão para .xls e lá estará o ouro ... Um pedófilo mais preparado e informado pode colocar as várias fotos suspeitas em um .doc e, em seguida, camuflar esse conteúdo dentro de uma planilha de contas a pagar. Nos dois casos, captar o truque pode ser bastante complicado.

Pensando nisso, desenvolvi uma nova rotina para o Byte Investigator. Ela tem por objetivo listar as streams de documentos Office que existem dentro de um arquivo Office. O uso é muito simples, e como é baseada em Perl, ela não depende de nenhum outro arquivo ou API externo, funcionando bem em Windows (com o Perl, lógico) e em qualquer live CD que tenha o Perl instalado.

Digitando OLEmerge.pl , ela verifica e lista cada stream encontrada. É possível usar o parâmetro -e, que apenas indica se há uma ou mais streams disponibilizadas. Obviamente, sempre que houver mais de uma stream, o arquivo deve ser analisado com mais detalhes, procurando qual o conteúdo oculto.

Você pode baixar a rotina aqui.

Comentários ?

Até o próximo post !

BackTrack 4

2009-08-14T12:00:00.004-03:00

Hoje é, segundo um email postado na lista PericiaForense, o pré-lançamento da versão 4 do BackTrack, uma distro voltada para Pen Test e que também possui alguma coisa para Forense Computacional. Segue o email enviado:

BackTrack é atualmente a melhor distribuição de Linux com foco em testes de penetração em sistemas (Pentesting). Sem nenhuma instalação (LiveCD), a plataforma de análise é iniciada directamente do CD-ROM ou Pen Drive sendo completamente acessível em minutos. BackTrack é uma distribuição Linux live que também pode ser instalada se preferir.

Back Track é uma junção de duas antigas distribuições relacionadas com segurança, Whax e Auditor Security Collection, reunindo mais de 300 ferramentas para análise e testes de vulnerabilidades Esta nova edição BackTrack 4, segundo o site oficial já alcançou mais de 100.000 downloads.

Segundo o anúncio, o BackTrack 4 traz grandes avanços conceituais e tem algumas novas e excelentes características. A mais importante destas mudanças é a expansão do Pentesting LiveCD para uma plena “Distribuição”.

Agora, baseado em Debian (núcleo e pacotes) e utilizando os repositórios de softwares do Ubuntu, BackTrack 4 pode ser adaptado em caso de atualização. Quando sincronizado com os repositórios oficiais do BackTrack, o sistema irá receber regularmente actualizações de segurança e novas ferramentas.

Algumas das novas características incluem:

- - Kernel 2.6.29.4 com melhor suporte de hardware.
- - Suporte nativo para cartões Pico E12 e E16 está agora totalmente funcional, fazendo do BackTrack a primeira distro Pentesting em utilizar plenamente os recursos destas minúsculas máquinas.
- - Suporte para Boot PXE.
- - SAINT EXPLOIT – gentilmente fornecido pela corporação SAINT com um número limitado de IPs livre.
- - Maltego 2.0.2
- - Os últimos patches mac80211 wireless injection pacthes foram aplicados, juntamente com vários patches personalizados para o rtl8187 injection. O suporte à wireless injection nunca foi tão amplo e funcional.
- - Unicornscan – Totalmente funcional com suporte ao postgress logging e web front end.
- - Suporte RFID
- - Suporte Pyrit CUDA
- - Novas ferramentas e atualizações

A lista de software contido nesta distribuição, tem aplicações com tudo de bom e do melhor, Wireless, Passwords, Spoofing, Tunneling, Enumeration, Bruteforce, Sniffers, VOIP, Bluetooth, Fuzzers, Forensics, Cisco, Debuggers, Database, RFID, Penetration, GPU e outras mais de 300
ferramentas.

Alguém já usou a ferramenta e gostaria de comentar ?

Até o próximo post !

SSDDFJ

2009-08-04T18:43:00.002-03:00

Há os que amam siglas. Não é o meu caso. Entretanto, ao que parece a sigla acima é mais usual para o espaço do que o nome completo: Small Scale Digital Device Forensics Journal, ou seja, Jornal Forense de Dispositivos Digitais de Pequena Escala. É um periódico bastante interessante, voltado para Forense Digital em aparelhos celulares, GPS, SSD, Iphones e afins. É uma parte que eu particularmente não aprecio muito, mas há uma extensa gama de conhecimento e aplicação delas.

Pois bem, o SSDDFJ Vol 3 já está disponível e traz alguns artigos:

3:1.1> Hashing Techniques for Mobile Device Forensics

3:1.2> Expanding the Potential for GPS Evidence Acquisition

3:1.3> The Fraternal Clone Method for CDMA Cell Phones

3:1.4> Provider Side Cell Phone Forensics

Os artigos podem ser lidos aqui.

Até o próximo post !

Forense de Registry

2009-07-31T09:57:00.006-03:00

A atividade investigativa em meio digital, apesar de complexa, pode ser resumida ao trabalho de descobrir vestígios que possam corroborar ou negar determinada tese. Com isso, precisamos conhecer cada vestígio possível de ser encontrado, dada uma ação qualquer realizada. Esse princípio é o mesmo em todos os tipos de perícia. No fim das contas, estamos olhando para os "efeitos" a fim de determinar as "causas".

Mina de Ouro

Um excelente local para se localizar artefatos (vestígios) é o Registry. Esse banco de dados de configurações apareceu pela primeira vez no mundo Windows com o Windows 95. A proposta dele era eliminar milhares de arquivos .ini, cada um acompanhando determinado programa. O Registry tem uma estrutura interna de banco de dados mesmo, conhecida como structured storage, e não simplesmente um arquivo de texto comum. Ele não é apenas um arquivo simples, mas um grupo deles, que pode ser verificado em conjunto em uma estrutura indentada, conhecida como hives. Não vou entrar em detalhes sobre essa estrutura, pois não caberia em um artigo desses, mas vale dizer que o Registry foi pensado para ser um repositório de configurações, não apenas do próprio Windows, mas também servindo aos programas de terceiros. Por que estamos falando tanto desse Registry, então ? Porque ele é uma mina de ouro para Investigadores Digitais.

É possível resgatar todo o tipo de informação de um Registry. Além de inserir vários pontos de controle do próprio Windows, a Microsoft nos fez o favor de dar às entradas do Registry um timestamp; ou seja, as chaves possuem data/hora da última modificação. Esse ponto, por si só, já nos permite conhecer um timeline das atividades de configuração da máquina, e em muitos casos, correlacionar dados com outros, buscados nas demais fontes de vestígios de um computador.

Forense de Registry

O Registry tem se tornado tão importante para a Computação Forense que há um perito especializado nesse tema, e depois de lançar ótimos livros sobre Forense Computacional em geral, está pesquisando a possibilidade de lançar um livro só sobre Registry. Harlan Carvey, já citado por mim aqui no blog algumas dezenas de vezes, estuda bastante o assunto e criou um programa para operar na extração (consequentemente, ajudando na análise) dos dados do registry. O RegRipper atua sobre um arquivo específico que compoe o registry e faz as extrações das informações, listando-as de maneira clara. Você pode estar se perguntando por que isso é melhor do que o RegEdit, do próprio Windows. Bem, isso é melhor porque:

O RegEdit só funciona em uma Live Analysis, enquanto que o RegRipper funciona em DeadAnalysis também

O RegEdit é um browser da estrutura. Se ele achar um valor com uma string binária contendo o numero 1, ele vai exibir 1 para aquele valor, enquanto que o RegRipper vai exibir exatamente o que o "1" significa naquele contexto. Por exemplo, o "1" pode significar "Instalação Default" ou "Inativo" ...

O RegEdit não faz parsing das estruturas armazenadas no registry; Ou seja, se houver um valor binário lá, ele vai mostrar um conjunto de dados completamente sem sentido. O RegRipper exibirá os dados todos traduzidos, de acordo com a sua estrutura.
O RegEdit é um programa único que só faz a exibição dos dados. O RegRipper é extensível, aceita plugins que podem ser desenvolvidos por qualquer um que conheça Perl.

O RegEdit não mostra os timestamps das chaves, o RegRipper as mostra e pode auxiliar na montagem de um timeline delas.

O RegEdit exibe valores criptografados como estão, o RegRipper os descriptografa (casos onde os valores são gravados pelo Windows em ROT-13)

Já está bom ?

Além disso tudo, o RegRipper é de graça e "conversa" muito bem com o F-Response, podendo ser usado em Live Analysis por conta disso.

Como se isso não bastasse, recentemente o Harlan publicou um novo programa no site do RegRipper: O RegXP. Esse utilitário serve para analisar os arquivos de Registry que são encontrados no System Restore. Vamos falar disso mais adiante, mas a idéia é que o RegXP possa fazer uma análise em conjunto de cada arquivo de Registry localizado nos System Restore da máquina. É um comparativo que pode indicar muito do que foi feito na máquina.

Alguém já usou a ferramenta e quer compartilhar suas impressões ? Comente !

Até o próximo post !

Helix 2009R1

2009-07-30T22:07:00.001-03:00

Revisar um Live CD sem ter acesso à documentação é uma tarefa um tanto quanto complicada. Toda a documentação disponibilizada pela eFense fica no Forum, e é uma área limitada a quem tem uma conta ($$$).
Assim, baseado única e exclusivamente em algumas navegações e testes, percebi que:
- O SleuthKit foi atualizado para a versão 3.0.0 e foi compilado para aceitar imagens EWF e AFF, além do raw e split raw, já aceitos na última versão.
- O trueCrypt teve sua versão atualizada
- O utilitário de Slackspace BMap está nesta versão
- Os utilitários de compactação unrar e unace foram adicionados
- Há uma indicação em um dos textos do site de que um erro envolvendo mount de swap foi corrigido.

É provável que muitos dos utilitários existentes tenham recebido atualização de versão, mas não consegui confirmar. Tão logo seja possível, vou verificar a parte de Resposta a Incidentes em Windows.

Alguém gostaria de acrescentar algo que percebeu na nova versão do Helix ? Comente !

Até o próximo post !

US Cyber Challenge

2009-07-27T18:13:00.002-03:00

O governo americano lançou um programa estratégico bastante interessante, destinado a formar experts nas áreas que lutam contra o cyber crime. De acordo com o site da SANS, o programa vai dar a esses jovens americanos educação avançada e exercícios, além de reconhecimento apropriado. O programa chama-se US Cyber Challenge e já inclui três das mais famosas challenges americanas: CyberPatriot Defense Competition, DC3 Digital Forensics Challenge e a Netwars Capture-The-Flag Competition. Dez mil jovens serão então selecionados por essas challenges para participar de treinamentos específicos no próximo ano.
Além de uma excelente iniciativa, individualmente há prêmios para os ganhadores das challenges. Três outros pontos são o "icing on the cake" da novidade: Não há custos, é online (apenas o cyberpatriot tem a etapa final local, em Orlando) e podem ser disputadas por não-americanos.
Essa é uma boa oportunidade para que nossos Peritos e Investigadores Digitais pratiquem em um dos desafios de Computação Forense mais bem elaborados do mundo, o DC3 Digital Forensics Challenge.
A inscrição é rápida e logo em seguida você vai ganhar acesso aos arquivos, que devem ser baixados e usados nas diversas challenges. Cada uma delas é dividida em níveis: Novatos, Experientes, Especialistas e Gênios. O site do DC3 está bem documentado e indica como as respostas devem ser submetidas.

Há um outro ponto muito importante nisso tudo, fora a boa oportunidade de prática: Veja como a maturidade americana funciona bem nesse assunto. Crimes "virtuais" infelizmente chegaram para ficar. Pense apenas por um segundo, o que te parece mais fácil ? Roubar uma conta bancária, enganando idosos e distraídos, usando seu computador no conforto do quarto, ou trocar tiros com seguranças em bancos ? Se a resposta veio rápido para você, imagine que também vem para os que estão cansados de roubar bancos. O próximo ponto, depois de percebermos que daqui a alguns anos o crime virtual vai ser mais praticado do que o crime comum, é a pergunta que faz muitos silenciarem: O que estamos fazendo para trabalhar essa situação ?
Um especialista não é criado de um dia para noite. Não se estalam os dedos e se acha um Perito. Já escrevi sobre esse ponto antes, a nossa carreira leva tempo para ser estabelecida. É nisso que essa iniciativa americana é brilhante: Ela detecta, incentiva e prepara os jovens para que, quando a questão cybernética realmente ficar "pegando fogo", eles já possuam pessoas preparadas para atuar.

O que nós, brasileiros, podemos fazer a respeito ? O que nós estamos fazendo a respeito ? Você gostaria de compartilhar alguma experiência ? Comente !

Até o próximo post !

Retorno

2009-07-20T13:15:00.002-03:00

Pessoal,

Depois de um bom tempo de descanso, com férias mais do que merecidas, estou de volta e com força renovada para mais um bom tempo. Tenho algumas idéias de artigos e códigos para o Byte Investigator, e pretendo colocá-las em prática o quanto antes. Recebi alguns emails nesse período, e vou gradativamente responder a cada um deles.

Bom, para não ser um artigo só de oba-oba, já vale o anúncio de que, por algum motivo, a turma da eFense mudou a estratégia e passou a dar acesso ao novo Helix. Eles estão mantendo uma linha de download no site, exigindo cadastro. O download é feito por um link temporário enviado ao email cadastrado. Junto com o email vem outros, sobre as inúmeras opções e facilidades do Helix Pro, que é uma versão mais madura do Helix Live CD que conhecemos.

Já baixei, mais ainda não tive como testá-lo. Assim que puder, colocarei aqui as minhas impressões sobre essa versão 2009 R1.

Até o próximo post !

Byte Investigator

2009-06-21T19:12:00.004-03:00

Pessoal, aproveitei um tempinho que me sobrou e criei um projeto na Sourceforge.

O objetivo é compartilhar rotinas em Perl para o dia a dia de um Investigador em Forense Digital. O projeto pode ser acessado na própria página do Byte Investigator da Sourceforge e já conta com duas pequenas rotinas. Uma delas pesquisa e localiza ADSs (Alternate Data Streams), apenas informando os Inodes que a possuem, enquanto que a outra faz uma pesquisa mais extensa, indicando detalhes dos ADS presentes e mesmo o tipo de dados que estão contidos lá. Esse tipo de rotina será muito útil em investigações e perícias onde estamos suspeitando de ocultação de dados (uma invasão de hackers ou mesmo alguém que tenha o que esconder dos outros ...) ou ainda na busca por códigos maliciosos (alguns classicamente se perpetuam nas ADSs). Um dos pontos fortes é que a única dependência dessas rotinas é do TSK (além do Perl, obviamente). É de fácil utilização em todos os Live CDs disponíveis atualmente.

As duas rotinas iniciais são de minha autoria, mas o projeto está aberto a contribuições. Participe !

Até o próximo post !

Mais uma queda do SHA-1

2009-06-13T13:12:00.000-03:00

Não faz muito tempo (mais ou menos 2 anos) que foi anunciado uma quebra do algoritmo de hash SHA-1. Pois bem, a façanha foi repetida há poucos dias por uma turma de pesquisadores da Macquarie University, em Sydney, Australia.

O avanço anterior já tinha reduzido a possibilidade de colisão do algoritmo de 2⁸⁰ operações para algo em torno de 2⁶⁹. A pesquisa agora reduziu esse número a "meros" 2⁶³ , o que colocaria este esforço ao alcance de empresas com orçamento e intencionadas em se beneficiar de algum resultado obtido via colisão provocada.

Um ponto a destacar, principalmente para os alarmistas de plantão, é que ataques contra o uso de hashs em Forense Computacional ainda não são efetivos. Tais ataques, conhecido como pre-image attacks, não são ainda factíveis usando as técnicas apresentadas, nem no SHA-1 nem no MD5, conforme descrevi aqui alguns posts atrás. Apesar disso, como nossos casos podem durar anos, considero bastante válido que as ferramentas tratem de apresentar cálculos de hashs usando algoritmos com mais capacidades de bits. Eles estão chegando muito perto ...

Veja aqui o PDF do trabalho.

Comentários ?

Até o próximo post !

FAETEC

2009-06-11T16:38:00.000-03:00

Estive na última quarta participando de um ciclo de palestras de informática aqui na FAETEC de Quintino, bairro do Rio de Janeiro mais conhecido por ser o lugar onde o Zico nasceu. A palestra, bastante simples, trata do mercado de TI para as novas gerações, explica alguns detalhes bem básicos do que é Segurança de Informações e do que faz um profissional da área. Como não podia deixar de ser, acabei deixando a turma animada com Forense Computacional e esse maravilhoso trabalho. A palestra já está disponível no meu perfil do LinkedIn, que está acessível a partir do final da página deste blog.

Saí de lá pensativo sobre esse tipo de evento. Primeiro porque os professores que o promovem (e aqui vai um grande abraço ao meu amigo Ricardo Pinheiro) são verdadeiros super-heróis, conseguindo excelentes resultados sem muita estrutura ou apoio financeiro. Em segundo lugar, porque acredito que há uma grande parcela de responsabilidade nossa (os atuais profissionais) em formar novos profissionais. E isso começa em eventos desse tipo, criando a paixão necessária para estudar e buscar conhecimento na área. Lembro que é exatamente nesta idade, com a curiosidade aguçada, que os hackers acabam aliciados para trabalharem no crime organizado, às vezes criando phishings para alguém sem ter a menor idéia do que estão fazendo.

Não esqueça de algo que eu tenho sempre comentado aqui. Se o Brasil é conhecido mundialmente pela excelência nos hackers que temos, mais trabalho ainda para nós, peritos. Precisaremos equilibrar a balança e nos tornar mundialmente ainda melhor reconhecidos.

É uma missão e tanto ...

Até o próximo post !

Resposta a Incidentes e Forense Computacional

O que é o Projeto MUFFIN, afinal ?

Mensagem às Futuras Gerações de CIOs, CEOs e CSOs

Boa Notícia 2

Alexandro Silva

Aplicando melhorias de segurança no JBossAS

Anchises M.G. de Paula

Andrew Cushman

New strategies to combat evolving security threats based on Microsoft products and security responses

Dr. Coriolano Camargo

As múltiplas faces dos crimes de alta tecnologia

Dr. Emerson Wendt

Infiltração Policial na Internet

Ewerson Guimarães (Crash)

Técnicas de Intrusão (Ferramentas Open Source)

Fernando Mercês

Construindo um analisador de executáveis PE

Igor Alcantara

Codificação Segura

Joe McCray

You Spent All That Money And You Still Got Owned????

Luiz Eduardo

Global Security Report - Trustwave

Nelson Brito

Inception: Tips and tricks about reversing vulnerabilities!

Rafael Soares Ferreira

Metasploit Framework: A Lightsaber for Pentesters

Rener Alberto (Gr1nch)

SQL Injection - Pwning a Windows Box!!!

Rodrigo Rubira Branco

Behind the Scenes: Security Research

Thiago Bordini

Exploit code injection in CMS Systems

Tony Rodrigues

Projeto MUFFIN de Resposta a Incidentes - Uma receita para causar indigestão nos malwares

Wagner Elias

Você confia nas aplicações desenvolvidas para sistemas operacionais mobile?

Boa notícia 1

O Stuxnet e a responsabilidade civil

Stuxnet e seus estragos

Stuxnet - fingerprinting e contra-inteligência

O Stuxnet e as capivaras

Ysts 5 - Review

YSTS 5 e habilidades culinárias

Websecforum - Review

Twitter

Web Security Forum

Mais uma para se preocupar

Mais duas boas ferramentas na área

Enfim, AFF no Windows

Ano Novo, Cara Nova

Privacidade ?

TSK novo na área

Novidades para Memory Forensics

Prevenir é melhor do que remediar

Compartilhar ou não compartilhar, eis a questão !

H2HC 7a Edição

OWASP AppSec Brazil 2010

Computação Forense e Virtualização

Anti Anti Forensics

Palestra confirmada no H2HC

Curso no H2HC confirmado !

Computação Forense no AppSec Brazil 2010

Quebrando o silêncio no rádio

Dois em um - WinTaylor 2.0 e Remnux

Podcast StaySafe no ar

Virtualização e CAINE 2.0 - Parte 5

Virtualizacão e CAINE 2.0 - Parte 4

StaySafe Podcast

Virtualizacão e CAINE 2.0 - Parte 3

Virtualizacão e CAINE 2.0 - Parte 2

Virtualizacão e CAINE 2.0

LiveView ganha irmão mais novo ...

Um pouco de filosofia

Novo CAINE vem aí

Histograma

YSTS4 - Revendo

Novo DEFT no ar

VIII GAMACOMP

Bulk Extractor