Um trabalho interessante da Harmony Security chamou minha atenção: Reflective Dll Injection.
É um conceito novo em relação ás técnicas já conhecidas de DLL Injection. O que Forense Computacional tem a ver com isso ? Essa técnica não deixa rastros no HD, pois não chega a tocá-lo. Por conta disso, alguns exploits a usam e a detecção e pesquisa do que aconteceu fica realmente prejudicada (pelo menos pelo ponto de vista do Perito).
No caso dessa nova técnica, o próprio autor afirma no seu paper que a detecção é extremamente complicada, e já existe, além da PoC, um payload para Metasploit.
Duas impressões ficam após ler um artigo como esse:
1) Cada vez mais a aquisição e análise da memória será necessária para se determinar o que aconteceu em um caso ou incidente.
2) Precisamos de uma turma que se disponha a pesquisar essas técnicas para descobrir os artefatos e vestígios que podemos encontrar.
Quem seria voluntário ???
Até o próximo post !
sexta-feira, 26 de dezembro de 2008
terça-feira, 23 de dezembro de 2008
Resposta a Incidentes para gente grande
Por enquanto, acredito que podemos dividir quem pratica Resposta a Incidentes de Segurança de Informações em mais ou menos dois grupos:
- Os que nunca fizeram nada a respeito, e provavelmente nem vão fazer;
- Os que fingem que fazem alguma coisa.
Para não ser injusto com a turma que trabalha em Telecom e/ou o pessoal específico dos grupos de resposta em backbones, vou tirar eles desses dois grupos. Talvez a eles não se aplique o que vou escrever aqui, mas tenho visto que se aplica a maioria dos pobres mortais.
O primeiro grupo é composto por empresas que, de uma forma ou de outra, não sofrem pressão regulatória, e acabam por não ter histórico de incidentes que justifique um investimento em um time de Resposta. O problema é que isso provavelmente nunca vai acontecer até que algo realmente ruim (e dos grandes) ocorra. Isso porque a turma, no geral, não aprende a identificar os diversos problemas que ocorrem como incidentes, e portanto ficam se agir diretamente sobre a fonte de alguns problemas.
O outro grupo pode ser até pior. É aquela turma que recebeu um "apronte logo isso para segunda-feira" e correram a Internet na busca de montar (ou pegar pronto, que seja) um manual de resposta a incidentes que possa ter seu título trocado e imediatamente publicado. Ninguém na organização está realmente a par do que precisa ser feito em caso de um incidente, mas o manual é uma beleza, muito bem diagramado ...
Esse quadro vai mudar. Por bem ou por mal, na verdade. Não posso prever quando, até porque aqui na nossa terrinha amada a tendência de certas coisas é andar em um rítmo mais lento, mas a coisa já está pegando por aí. Nos EUA já está virando moda cada setor lançar um regulamento ou norma específica tratando sobre a perda de dados de clientes (os chamados PII - Personal Identifiable Information). HIPAA e PCI já implementam versões de normas que tem por objetivo fazer a empresa que teve dados de clientes comprometidos a ir na Mídia se explicar. Imagine você se um CEO gosta de fazer aquela cara de bule e ficar se explicando para jornalista ... O resultado disso é um aumento substancial na conscientização dos envolvidos em Resposta a Incidentes, de quem trabalha com resposta imediata (os First Responders) ao pessoal da faxina digital. Infelizmente, por aqui ainda não tem nada parecido, apesar do PCI DSS estar sendo auditado.
O que teremos quando esse quadro mudar, principalmente por conta dessas novas regulamentações ?
- A fase de Preparação vai finalmente ganhar importância. Os dias estão contados para aquele quadro recorrente de chegarmos a um local para fazer algum levantamento e termos a desapontadora resposta de que não há nenhum tipo de log no ambiente. A fase de Preparação, muito ignorada por enquanto, vai ser levada a sério. Teremos um aumento nos treinamentos sobre Incident Response e os softwares que permitem capturar detalhes do estado da máquina com maior facilidade vão se tornar mais frequentes e parte do orçamento de qualquer boa empresa preocupada com seus clientes e seus dados. Os softwares versão Enterprise, a exemplo do F-Response e do EnCase, permitirão procedimentos mais efetivos.
Um pequeno comentário aqui: Sou o único aqui que tem problemas em marcar treinamento para a equipe que compõe o CIRT ? Sou o único a ter dificuldades, como gestor, de mostrar que um grupo que se diz CIRT não pode achar que Resposta a Incidentes é desligar a máquina na parede (o famoso pull-the-plug) ?
- A memória vai assumir um status tão importante quanto o HD na Resposta a Incidentes. O CIRT vai estar preparado e com ferramentas para realizar não só os inúmeros comandos que capturam o estado da máquina, suas conexões e outros itens, mas também estará preparado para capturar a memória e analisá-la.
- Verdadeiras equipes de Resposta a Incidentes vão aprender que a rotina deles é muito parecida com a de uma turma de ER de hospital. Triagem será uma operação fundamental na fase de Contenção, na medida em que mais eventos (incidentes) grandes acontecem e atingem mais servidores em uma rede. Um excelente artigo do HogFly explica alguns detalhes sobre esse assunto, mas basicamente a equipe terá que seguir cada vez mais uma ordem de prioridades para determinar quem será "atendido" primeiro. Em um caso de ER, uma pessoa que chega possui as classificações de atendimento Morto, Imediato, Menor grau e Pode aguardar (ou postergar). Um servidor atacado e comprometido em um datacenter com vários outros vai entrar em uma fila de acordo com classificações parecidas. HogFly sugere que a ordem de atenção para conter o impacto de um incidente, e a consequente hemorragia de informações, seja:
4) Servidores que não podem ser bloqueados no perímetro;
3) Servidores/Sistemas que não podem ser colocados offline;
2) Servidores/Sistemas que podem ser bloqueados no perímetro;
1) Servidores/Sistemas que podem ser colocados em offline;
- As metodologias irão amadurecer, baseadas principalmente em procedimentos já bastante maduros em disciplinas correlatas. Uma extensão ao manual de resposta a incidentes que trate casos comuns de incidentes e respostas pré-estudadas, com detalhes nos procedimentos, será comum nas empresas. Os detalhamentos deverão documentar, por exemplo, como um tipo específico de incidente pode ser detectado.
- O CIRT vai finalmente ganhar independência para agir. Os que já precisaram de atuar em uma Resposta a Incidente sabe como é frustrante coordenar um grupo que não é coeso, geralmente composto por equipes distintas e com gestores que nem sempre cooperam. Hoje, o CIRT é obrigado a agir, mas ainda tem uma dependência enorme das áreas operacionais. Em geral, elas acabam por emperrar o processo. Mas isso também está para acabar. O CIRT não poderá ficar de braços cruzados, esperando que a turma operacional habilite alguma coisa, para que ele comece a atuar. Em resumo, enquanto isso acontece hoje, o impacto do incidente continua agindo e, em geral, piorando a situação. Hackers agradecem. Com a independência do CIRT, assim que o incidente for detectado e o CIRT acionado, ele ganha uma espécie de status semelhante a um Estado de Sítio ou de Calamidade Pública. O CIRT passa a ter a agilidade necessária para fazer parar o incidente, atuando efetivamente na contenção, ao invés de ficar com as mãos amarradas.
Você poderia comentar como funciona a sua estrutura de resposta a incidentes ? Você passa ou já percebeu alguma das situações escritas aqui ? Já foi acionado para conter um incidente e quando chegou lá já tinham formatado tudo ? Comente !!!
Até o próximo post !
- Os que nunca fizeram nada a respeito, e provavelmente nem vão fazer;
- Os que fingem que fazem alguma coisa.
Para não ser injusto com a turma que trabalha em Telecom e/ou o pessoal específico dos grupos de resposta em backbones, vou tirar eles desses dois grupos. Talvez a eles não se aplique o que vou escrever aqui, mas tenho visto que se aplica a maioria dos pobres mortais.
O primeiro grupo é composto por empresas que, de uma forma ou de outra, não sofrem pressão regulatória, e acabam por não ter histórico de incidentes que justifique um investimento em um time de Resposta. O problema é que isso provavelmente nunca vai acontecer até que algo realmente ruim (e dos grandes) ocorra. Isso porque a turma, no geral, não aprende a identificar os diversos problemas que ocorrem como incidentes, e portanto ficam se agir diretamente sobre a fonte de alguns problemas.
O outro grupo pode ser até pior. É aquela turma que recebeu um "apronte logo isso para segunda-feira" e correram a Internet na busca de montar (ou pegar pronto, que seja) um manual de resposta a incidentes que possa ter seu título trocado e imediatamente publicado. Ninguém na organização está realmente a par do que precisa ser feito em caso de um incidente, mas o manual é uma beleza, muito bem diagramado ...
Esse quadro vai mudar. Por bem ou por mal, na verdade. Não posso prever quando, até porque aqui na nossa terrinha amada a tendência de certas coisas é andar em um rítmo mais lento, mas a coisa já está pegando por aí. Nos EUA já está virando moda cada setor lançar um regulamento ou norma específica tratando sobre a perda de dados de clientes (os chamados PII - Personal Identifiable Information). HIPAA e PCI já implementam versões de normas que tem por objetivo fazer a empresa que teve dados de clientes comprometidos a ir na Mídia se explicar. Imagine você se um CEO gosta de fazer aquela cara de bule e ficar se explicando para jornalista ... O resultado disso é um aumento substancial na conscientização dos envolvidos em Resposta a Incidentes, de quem trabalha com resposta imediata (os First Responders) ao pessoal da faxina digital. Infelizmente, por aqui ainda não tem nada parecido, apesar do PCI DSS estar sendo auditado.
O que teremos quando esse quadro mudar, principalmente por conta dessas novas regulamentações ?
- A fase de Preparação vai finalmente ganhar importância. Os dias estão contados para aquele quadro recorrente de chegarmos a um local para fazer algum levantamento e termos a desapontadora resposta de que não há nenhum tipo de log no ambiente. A fase de Preparação, muito ignorada por enquanto, vai ser levada a sério. Teremos um aumento nos treinamentos sobre Incident Response e os softwares que permitem capturar detalhes do estado da máquina com maior facilidade vão se tornar mais frequentes e parte do orçamento de qualquer boa empresa preocupada com seus clientes e seus dados. Os softwares versão Enterprise, a exemplo do F-Response e do EnCase, permitirão procedimentos mais efetivos.
Um pequeno comentário aqui: Sou o único aqui que tem problemas em marcar treinamento para a equipe que compõe o CIRT ? Sou o único a ter dificuldades, como gestor, de mostrar que um grupo que se diz CIRT não pode achar que Resposta a Incidentes é desligar a máquina na parede (o famoso pull-the-plug) ?
- A memória vai assumir um status tão importante quanto o HD na Resposta a Incidentes. O CIRT vai estar preparado e com ferramentas para realizar não só os inúmeros comandos que capturam o estado da máquina, suas conexões e outros itens, mas também estará preparado para capturar a memória e analisá-la.
- Verdadeiras equipes de Resposta a Incidentes vão aprender que a rotina deles é muito parecida com a de uma turma de ER de hospital. Triagem será uma operação fundamental na fase de Contenção, na medida em que mais eventos (incidentes) grandes acontecem e atingem mais servidores em uma rede. Um excelente artigo do HogFly explica alguns detalhes sobre esse assunto, mas basicamente a equipe terá que seguir cada vez mais uma ordem de prioridades para determinar quem será "atendido" primeiro. Em um caso de ER, uma pessoa que chega possui as classificações de atendimento Morto, Imediato, Menor grau e Pode aguardar (ou postergar). Um servidor atacado e comprometido em um datacenter com vários outros vai entrar em uma fila de acordo com classificações parecidas. HogFly sugere que a ordem de atenção para conter o impacto de um incidente, e a consequente hemorragia de informações, seja:
4) Servidores que não podem ser bloqueados no perímetro;
3) Servidores/Sistemas que não podem ser colocados offline;
2) Servidores/Sistemas que podem ser bloqueados no perímetro;
1) Servidores/Sistemas que podem ser colocados em offline;
- As metodologias irão amadurecer, baseadas principalmente em procedimentos já bastante maduros em disciplinas correlatas. Uma extensão ao manual de resposta a incidentes que trate casos comuns de incidentes e respostas pré-estudadas, com detalhes nos procedimentos, será comum nas empresas. Os detalhamentos deverão documentar, por exemplo, como um tipo específico de incidente pode ser detectado.
- O CIRT vai finalmente ganhar independência para agir. Os que já precisaram de atuar em uma Resposta a Incidente sabe como é frustrante coordenar um grupo que não é coeso, geralmente composto por equipes distintas e com gestores que nem sempre cooperam. Hoje, o CIRT é obrigado a agir, mas ainda tem uma dependência enorme das áreas operacionais. Em geral, elas acabam por emperrar o processo. Mas isso também está para acabar. O CIRT não poderá ficar de braços cruzados, esperando que a turma operacional habilite alguma coisa, para que ele comece a atuar. Em resumo, enquanto isso acontece hoje, o impacto do incidente continua agindo e, em geral, piorando a situação. Hackers agradecem. Com a independência do CIRT, assim que o incidente for detectado e o CIRT acionado, ele ganha uma espécie de status semelhante a um Estado de Sítio ou de Calamidade Pública. O CIRT passa a ter a agilidade necessária para fazer parar o incidente, atuando efetivamente na contenção, ao invés de ficar com as mãos amarradas.
Você poderia comentar como funciona a sua estrutura de resposta a incidentes ? Você passa ou já percebeu alguma das situações escritas aqui ? Já foi acionado para conter um incidente e quando chegou lá já tinham formatado tudo ? Comente !!!
Até o próximo post !
domingo, 21 de dezembro de 2008
What Programs Do
A parte de Análise em Informática Forense pode ser, dentre tantas técnicas, resumida a você poder contar como foi que algo aconteceu. Fazemos isso observando a imagem forense (ou as imagens) das mídias envolvidas e mesmo da memória. Observamos artefatos deixados pelo sistema operacional e pelos diversos programas instalados para poder determinar aspectos do caso e definir a análise.
Trazendo isso para uma análise da cena do crime, sabemos que uma pessoa deixa impressões digitais ao tocar determinados objetos; sabemos que um disparo de arma de fogo deixa resíduos de pólvora. Em um acidente de carro, podemos saber quem estava ao volante percebendo a direção da marca (hematoma) deixado pelo cinto de segurança.
O que isso significa ? Que na prática, nossa atuação e nossa análise será cada vez mais facilitada pelo conhecimento dos artefatos deixados pelo SO e pelos utilitários/aplicativos.
Pois bem. Uma turma da SANS deu um passo importante nessa direção. O projeto, cujo nome é o título desse post, está no blog na SANS e tem por objetivo postar todos os artefatos gerados por um programa qualquer.
O projeto ainda se encontra em fase inicial, e não tenho idéia de como vai ser disponibilizado para consulta, mas imagino dois usos específicos para ele.
1) Você está verificando se um tal programa XYZ foi usado na máquina, e se pergunta quais artefatos e onde procurar. Faz a busca no site do projeto e ... voilá ! Sabe onde procurar cada item para determinar o uso (ou não) do XYZ.
2) Você encontrou uma chave de registry ou um arquivo de log e não tem idéia de que utilitário teria criado o item. Uma rápida busca no site do projeto e imediatamente você fica sabendo que o tal item misterioso foi criado pela aplicação XYZ, que não mais existe naquela máquina ...
Fiquem de olho, esse projeto promete ser tão útil quanto o da NSRL, que publica o database com os hashes de programas. Um ponto importante é que estava em voga ampliar esse projeto para fornecer hashes dos arquivos por grupos de 512 bytes, normalmente bate com os setores dos sistemas de arquivos mais comuns. Por que ? Com os hashes, seria possível descobrir que um determinado setor é na verdade o n-ésimo bloco do programa XYZ, e isso facilitaria uma operação de carving onde há fragmentação. Alguém sabe se esse projeto andou ?
Comentários ?
Até o próximo post !
Trazendo isso para uma análise da cena do crime, sabemos que uma pessoa deixa impressões digitais ao tocar determinados objetos; sabemos que um disparo de arma de fogo deixa resíduos de pólvora. Em um acidente de carro, podemos saber quem estava ao volante percebendo a direção da marca (hematoma) deixado pelo cinto de segurança.
O que isso significa ? Que na prática, nossa atuação e nossa análise será cada vez mais facilitada pelo conhecimento dos artefatos deixados pelo SO e pelos utilitários/aplicativos.
Pois bem. Uma turma da SANS deu um passo importante nessa direção. O projeto, cujo nome é o título desse post, está no blog na SANS e tem por objetivo postar todos os artefatos gerados por um programa qualquer.
O projeto ainda se encontra em fase inicial, e não tenho idéia de como vai ser disponibilizado para consulta, mas imagino dois usos específicos para ele.
1) Você está verificando se um tal programa XYZ foi usado na máquina, e se pergunta quais artefatos e onde procurar. Faz a busca no site do projeto e ... voilá ! Sabe onde procurar cada item para determinar o uso (ou não) do XYZ.
2) Você encontrou uma chave de registry ou um arquivo de log e não tem idéia de que utilitário teria criado o item. Uma rápida busca no site do projeto e imediatamente você fica sabendo que o tal item misterioso foi criado pela aplicação XYZ, que não mais existe naquela máquina ...
Fiquem de olho, esse projeto promete ser tão útil quanto o da NSRL, que publica o database com os hashes de programas. Um ponto importante é que estava em voga ampliar esse projeto para fornecer hashes dos arquivos por grupos de 512 bytes, normalmente bate com os setores dos sistemas de arquivos mais comuns. Por que ? Com os hashes, seria possível descobrir que um determinado setor é na verdade o n-ésimo bloco do programa XYZ, e isso facilitaria uma operação de carving onde há fragmentação. Alguém sabe se esse projeto andou ?
Comentários ?
Até o próximo post !
sexta-feira, 19 de dezembro de 2008
Na conta do Tabelião
Um dia desses estava conversando com um camarada sobre as diferenças dos instrumentos jurídicos brasileiros e americanos com relação às provas eletrônicas.
Papo vai, papo vem, o assunto parou na Ata Notarial.
Expliquei a ele a função desse documento, que na prática equivale a ter alguém com fé pública atestando que os procedimentos estão corretos, que a cópia (aquisição da imagem) é perfeita, e tal. Ele perguntou:
P: - Mas como o tabelião, que não é um técnico, vai atestar que a cópia está igual ?
R: - Porque ele pode conferir os hashes e ver que são iguais.
P: - Quando acontecem erros de leitura, geralmente os hashes não batem
R: - Às vezes, porque quando usamos configurações para lidar com erros, em tese o valor de onde está dando erro vem como zero, e na imagem o zero é gravado também, o que faz os resultados baterem.
P: - Mas ele nem sabe o que é um hash, e o porque de serem iguais para atestar que a cópia está igual...
R: - É verdade, a maioria não sabe. Nesse caso, ele valida o procedimento; Ou seja, executamos um procedimento com passo a passo documentado, e ele atesta que todos os passos foram cumpridos.
P: - Como o passo de verificar a exatidão da cópia pelo hash ?
R: - Sim, incluindo esse passo.
P: - Mas como vamos garantir que o hash obtido não foi resultado de um programa de cálculo de hash adulterado para exibir um valor específico ?
R: - Como assim ?
P: - O programa de cálculo de hash (md5sum, por exemplo) pode ser manipulado para, quando se tratar da entrada xxx.dd, ele dê como saída um valor de hash que não é o verdadeiro, mas sim um valor que reflete a adulteração da imagem.
R: - De certa forma, poderia sim.
P: - Então mesmo com o hash e a Ata Notarial, seria difícil garantir que a cópia é exatamente igual ?
R: - Para evitar isso, o tabelião deveria ter seu próprio conjunto de ferramentas e ele também deveria estar apto a gerar o hash com elas, para conferir.
Depois, em conversa com uma pessoa da área jurídica, a respeito da possibilidade desse fato, ela informou que é por isso que muitos cartórios não fazem a Ata Notarial, ou só a fazem para casos super simples, como atestar que uma página web está no ar.
Algumas considerações a esse respeito:
- Precisamos de um instrumento jurídico realmente mais eficiente;
- O ataque de dicionário não é tão simples ou rápido de se aplicar. Levaria muito tempo para manipular a imagem de tal forma que desse o mesmo hash do início, apesar de não ser impossível;
- Como sempre diz Harlan Carvey, um processo não pode estar baseado em um único aspecto ou vestígio encontrado. Seria muito improvável que alguém conseguisse remover todos os vestígios (ou incluir novos, artificialmente gerados) e ainda manter intacta a relação que há entre eles. Um hash que não bate seria apenas mais um ponto a ser considerado.
Comentários ?
Papo vai, papo vem, o assunto parou na Ata Notarial.
Expliquei a ele a função desse documento, que na prática equivale a ter alguém com fé pública atestando que os procedimentos estão corretos, que a cópia (aquisição da imagem) é perfeita, e tal. Ele perguntou:
P: - Mas como o tabelião, que não é um técnico, vai atestar que a cópia está igual ?
R: - Porque ele pode conferir os hashes e ver que são iguais.
P: - Quando acontecem erros de leitura, geralmente os hashes não batem
R: - Às vezes, porque quando usamos configurações para lidar com erros, em tese o valor de onde está dando erro vem como zero, e na imagem o zero é gravado também, o que faz os resultados baterem.
P: - Mas ele nem sabe o que é um hash, e o porque de serem iguais para atestar que a cópia está igual...
R: - É verdade, a maioria não sabe. Nesse caso, ele valida o procedimento; Ou seja, executamos um procedimento com passo a passo documentado, e ele atesta que todos os passos foram cumpridos.
P: - Como o passo de verificar a exatidão da cópia pelo hash ?
R: - Sim, incluindo esse passo.
P: - Mas como vamos garantir que o hash obtido não foi resultado de um programa de cálculo de hash adulterado para exibir um valor específico ?
R: - Como assim ?
P: - O programa de cálculo de hash (md5sum, por exemplo) pode ser manipulado para, quando se tratar da entrada xxx.dd, ele dê como saída um valor de hash que não é o verdadeiro, mas sim um valor que reflete a adulteração da imagem.
R: - De certa forma, poderia sim.
P: - Então mesmo com o hash e a Ata Notarial, seria difícil garantir que a cópia é exatamente igual ?
R: - Para evitar isso, o tabelião deveria ter seu próprio conjunto de ferramentas e ele também deveria estar apto a gerar o hash com elas, para conferir.
Depois, em conversa com uma pessoa da área jurídica, a respeito da possibilidade desse fato, ela informou que é por isso que muitos cartórios não fazem a Ata Notarial, ou só a fazem para casos super simples, como atestar que uma página web está no ar.
Algumas considerações a esse respeito:
- Precisamos de um instrumento jurídico realmente mais eficiente;
- O ataque de dicionário não é tão simples ou rápido de se aplicar. Levaria muito tempo para manipular a imagem de tal forma que desse o mesmo hash do início, apesar de não ser impossível;
- Como sempre diz Harlan Carvey, um processo não pode estar baseado em um único aspecto ou vestígio encontrado. Seria muito improvável que alguém conseguisse remover todos os vestígios (ou incluir novos, artificialmente gerados) e ainda manter intacta a relação que há entre eles. Um hash que não bate seria apenas mais um ponto a ser considerado.
Comentários ?
quarta-feira, 17 de dezembro de 2008
Baú de Live CDs
- Você trabalha com Informática Forense e carrega mil live cds para todo canto ?
- Você já ficou amigo do dono da loja de CDs graváveis de tantos live CDs que você teve de preparar ?
- Você não aguenta mais a pilha de live CDs que se formou no seu laboratório ???
Não ???
Seus problemas acabaram !!! :)
Alguns projetos lançaram a moda do Multi Live DVD, um DVD bootável com opção de carregar vários Live CDs nele.
A base pode ser criada a partir do script Nautopia ou do UNetbootin (esse para pendrive). O conceito é o mesmo, e já tem alguns conjuntos lançados, incluindo para LiveUSB.
- MultiIso Live DVD: Compilação de vários Live CDs Linux, incluindo o BackTrack e o OphCrack (com rainbow tables !).
- SUMO Linux: Compilação que contém o Helix, o BackTrack e mais alguns interessantes.
Muito bom, não é ? Para ser perfeito, poderíamos ter um desses só para Forense Computacional. Algo que reunisse os mais usados, pelo menos, como o Helix, o FCCU, o DEFT4 e o brasileiro FDTK.
Algum mestre Linux se habilita ? A comunidade de Forense Computacional brasileira agradece !
Até o próximo post !
- Você já ficou amigo do dono da loja de CDs graváveis de tantos live CDs que você teve de preparar ?
- Você não aguenta mais a pilha de live CDs que se formou no seu laboratório ???
Não ???
Seus problemas acabaram !!! :)
Alguns projetos lançaram a moda do Multi Live DVD, um DVD bootável com opção de carregar vários Live CDs nele.
A base pode ser criada a partir do script Nautopia ou do UNetbootin (esse para pendrive). O conceito é o mesmo, e já tem alguns conjuntos lançados, incluindo para LiveUSB.
- MultiIso Live DVD: Compilação de vários Live CDs Linux, incluindo o BackTrack e o OphCrack (com rainbow tables !).
- SUMO Linux: Compilação que contém o Helix, o BackTrack e mais alguns interessantes.
Muito bom, não é ? Para ser perfeito, poderíamos ter um desses só para Forense Computacional. Algo que reunisse os mais usados, pelo menos, como o Helix, o FCCU, o DEFT4 e o brasileiro FDTK.
Algum mestre Linux se habilita ? A comunidade de Forense Computacional brasileira agradece !
Até o próximo post !
segunda-feira, 15 de dezembro de 2008
Táticas para esconder informações
Terminei de ler há alguns dias um artigo muito interessante sobre várias técnicas para obfuscar informações, tanto para Windows quanto para Unix. A maior parte delas envolve o conceito de slack space, ou seja, a sobra de espaço em uma unidade de alocação. No nível de arquivo, o slack space seria a porção de disco não ocupada por um arquivo em um cluster do sistema de arquivo.
Por exemplo, imagine um sistema de arquivos com blocos de 512 bytes. Se você alocar nele um arquivo de 2100 bytes, você vai "encher" 4 blocos de 512 (2048 bytes), e os 52 bytes restantes ocuparão o quinto bloco. Neste bloco, logo após os 52 bytes, o espaço não pode ser alocado, mas está la. Algumas ferramentas mapeiam e usam esse local para guardar informações longe dos olhos dos curiosos.
Um conceito semelhante se aplica quando você particiona um disco, escreve vários dados nos últimos setores e depois deleta a partição, recriando uma nova com menor espaço. Os dados da partição anterior ainda vão estar lá, acessíveis apenas por ferramentas específicas.
Há, na verdade, dezenas de artigos sobre esse assunto, principalmente sobre anti-forensics. O que me chamou atenção neste foi a concentração e boa exposição sobre várias técnicas além de um estudo baseado na capacidade do FTK descobrir os artefatos.
O resultado do estudo foi interessante: O artefato só é identificado quando o investigador sabe o que está procurando. O caso é que todos os artefatos estão presentes na imagem forense da mídia, mas o FTK não reportou como anômalo, por exemplo, o fato de alguns dados estarem escritos em áreas onde só zeros seriam encontrados. Como o artigo é de 2006, talvez hoje já exista algo que identifique isso.
Alguém saberia dizer o comportamento de outras ferramentas neste contexto ? EnCase ? ProDiscover ?
Até que seria interessante um projeto, talvez em Perl, procurando artefatos nesses cantos ... Alguém se habilita ?
Até o próximo post !
Por exemplo, imagine um sistema de arquivos com blocos de 512 bytes. Se você alocar nele um arquivo de 2100 bytes, você vai "encher" 4 blocos de 512 (2048 bytes), e os 52 bytes restantes ocuparão o quinto bloco. Neste bloco, logo após os 52 bytes, o espaço não pode ser alocado, mas está la. Algumas ferramentas mapeiam e usam esse local para guardar informações longe dos olhos dos curiosos.
Um conceito semelhante se aplica quando você particiona um disco, escreve vários dados nos últimos setores e depois deleta a partição, recriando uma nova com menor espaço. Os dados da partição anterior ainda vão estar lá, acessíveis apenas por ferramentas específicas.
Há, na verdade, dezenas de artigos sobre esse assunto, principalmente sobre anti-forensics. O que me chamou atenção neste foi a concentração e boa exposição sobre várias técnicas além de um estudo baseado na capacidade do FTK descobrir os artefatos.
O resultado do estudo foi interessante: O artefato só é identificado quando o investigador sabe o que está procurando. O caso é que todos os artefatos estão presentes na imagem forense da mídia, mas o FTK não reportou como anômalo, por exemplo, o fato de alguns dados estarem escritos em áreas onde só zeros seriam encontrados. Como o artigo é de 2006, talvez hoje já exista algo que identifique isso.
Alguém saberia dizer o comportamento de outras ferramentas neste contexto ? EnCase ? ProDiscover ?
Até que seria interessante um projeto, talvez em Perl, procurando artefatos nesses cantos ... Alguém se habilita ?
Até o próximo post !
sexta-feira, 12 de dezembro de 2008
Na passada dos carangueijos
Tenho usado o Helix 2.0 com frequência. Não pelo fato de estar achando o produto a última maravilha, mas porque os outros ainda oferecem menos.
Bom, pelo menos ofereciam.
Há tempos o Helix reinava como ferramenta 0800 de Forense Computacional. É um produto bom, prático, e recebia atualizações com certa frequência. A versão 2.0, esperada e anunciada há tempos, chegou em setembro último e de lá para cá, a coisa andou para trás, literalmente.
Assim que eu soube do lançamento, corri para o site e tratei de baixá-lo. Conferidos os hashes, vamos gerar logo o Live CD e começar o Rock.
Primeira decepção. O novo live cd deve demorar o dobro e mais um pouco de tempo de boot do antecessor.
Logo em seguida, reparei que o terminal não faz distinção de cores pré-definida, como vinha na v1.9. O log da sessão já era, ficou de fora.
Ao tentar usar o Adepto, a tela ficou com tamanho errado e não me deixou acertar isso de jeito nenhum. Piorou quando tentei usar o formato AFF. Não funcionou de jeito nenhum. Interessante que o aimage está ok.
Os utilitários mudaram todos de nome. Aqueles que eu estava acostumado a usar para as tarefas mais corriqueiras agora me fazem sair à caça de quem os substituiu. Fora que alguns utilitários do Sleuthkit estão com nomes trocados por outros; imagino que haja uma explicação razoável para isso, mas ainda não a li e estou curioso pela resposta.
Reconhecer o meu Wifi ? Nem pensar ...
Ainda vou dar uma olhada mais a fundo, mas a impressão que eu tenho é a de que alguns dos utilitários mais clássicos e antigos não foram trazidos, como o Glimpse. Por outro lado, o PyFlag foi varrido do mapa e o PTK não foi trazido, como era esperado. Conclusão: Não há um indexador para buscas ASCII ou Unicode. Na minha imagem de 80 Gb eu tive de esperar 50 min por cada um dos itens procurado.
Você está pensando que acabou ? Infelizmente não. A coisa piorou, já que caiu na minha mailbox esses dias um email do Drew Farrell, criador e mantenedor do Helix, dizendo que a e-fense não vai mais ajudar a bancar o projeto. Se a gente quer continuar com o Helix sob a bandeira do sw livre, vamos ter que bancar. Mudanças no site já aconteceram. O que antes era um link simples para download agora é um form para quem quiser o Helix preencher antes. As doações podem ser feitas pelo Paypal.
Não encare esse post como algum tipo de reclamação. Não cabe nenhum tipo de reclamação neste caso, pois até aqui o Drew fez tudo meio que sozinho e com pouco apoio. Ainda assim, transformou o Helix no live CD mais usado do mundo para Informática Forense. O que é de lascar é que a gente acaba ficando dependente do produto, e agora pode ser que ele tenha o tapete puxado ...
Alguém tem mais algum feedback do Helix 2.0 ?
Até o próximo post !
Bom, pelo menos ofereciam.
Há tempos o Helix reinava como ferramenta 0800 de Forense Computacional. É um produto bom, prático, e recebia atualizações com certa frequência. A versão 2.0, esperada e anunciada há tempos, chegou em setembro último e de lá para cá, a coisa andou para trás, literalmente.
Assim que eu soube do lançamento, corri para o site e tratei de baixá-lo. Conferidos os hashes, vamos gerar logo o Live CD e começar o Rock.
Primeira decepção. O novo live cd deve demorar o dobro e mais um pouco de tempo de boot do antecessor.
Logo em seguida, reparei que o terminal não faz distinção de cores pré-definida, como vinha na v1.9. O log da sessão já era, ficou de fora.
Ao tentar usar o Adepto, a tela ficou com tamanho errado e não me deixou acertar isso de jeito nenhum. Piorou quando tentei usar o formato AFF. Não funcionou de jeito nenhum. Interessante que o aimage está ok.
Os utilitários mudaram todos de nome. Aqueles que eu estava acostumado a usar para as tarefas mais corriqueiras agora me fazem sair à caça de quem os substituiu. Fora que alguns utilitários do Sleuthkit estão com nomes trocados por outros; imagino que haja uma explicação razoável para isso, mas ainda não a li e estou curioso pela resposta.
Reconhecer o meu Wifi ? Nem pensar ...
Ainda vou dar uma olhada mais a fundo, mas a impressão que eu tenho é a de que alguns dos utilitários mais clássicos e antigos não foram trazidos, como o Glimpse. Por outro lado, o PyFlag foi varrido do mapa e o PTK não foi trazido, como era esperado. Conclusão: Não há um indexador para buscas ASCII ou Unicode. Na minha imagem de 80 Gb eu tive de esperar 50 min por cada um dos itens procurado.
Você está pensando que acabou ? Infelizmente não. A coisa piorou, já que caiu na minha mailbox esses dias um email do Drew Farrell, criador e mantenedor do Helix, dizendo que a e-fense não vai mais ajudar a bancar o projeto. Se a gente quer continuar com o Helix sob a bandeira do sw livre, vamos ter que bancar. Mudanças no site já aconteceram. O que antes era um link simples para download agora é um form para quem quiser o Helix preencher antes. As doações podem ser feitas pelo Paypal.
Não encare esse post como algum tipo de reclamação. Não cabe nenhum tipo de reclamação neste caso, pois até aqui o Drew fez tudo meio que sozinho e com pouco apoio. Ainda assim, transformou o Helix no live CD mais usado do mundo para Informática Forense. O que é de lascar é que a gente acaba ficando dependente do produto, e agora pode ser que ele tenha o tapete puxado ...
Alguém tem mais algum feedback do Helix 2.0 ?
Até o próximo post !
quarta-feira, 10 de dezembro de 2008
Tempos
Uma pergunta que eu me fazia com frequência quando comecei em Informática Forense era quanto tempo em média demoravam os procedimentos. Nunca consegui uma resposta sobre isso em fóruns, mas recentemente me lembrei disso e decidi colocar alguns aqui, como orientação.
Logicamente, vários fatores influenciam nesses tempos, e são tantos que esses valores são para dar apenas uma idéia. Vamos lá:
- Aquisição do disco rígido (dcfldd via adepto): 48 min
- Hash do device: 40 min
- Hash do arquivo-imagem: 36 min
- Busca não indexada pelo autopsy: 50 min cada busca, em média.
Ref: Máquina Core 2 Duo @ 2.00 GHz com 4 Gb. Origem: HD IDE de 80 Gb; Destino: HD SATA. Ambos conectados via USB2. As buscas no Autopsy acessavam um HD SATA conectado pela USB2.
O fato do novo Helix não guardar mais o log de tudo que fazemos na sessão (aliás, tema de um próximo post) dificulta lembrar de pegar essas métricas.
Alguém quer compartilhar outros valores e referências ?
Até o próximo post !
Logicamente, vários fatores influenciam nesses tempos, e são tantos que esses valores são para dar apenas uma idéia. Vamos lá:
- Aquisição do disco rígido (dcfldd via adepto): 48 min
- Hash do device: 40 min
- Hash do arquivo-imagem: 36 min
- Busca não indexada pelo autopsy: 50 min cada busca, em média.
Ref: Máquina Core 2 Duo @ 2.00 GHz com 4 Gb. Origem: HD IDE de 80 Gb; Destino: HD SATA. Ambos conectados via USB2. As buscas no Autopsy acessavam um HD SATA conectado pela USB2.
O fato do novo Helix não guardar mais o log de tudo que fazemos na sessão (aliás, tema de um próximo post) dificulta lembrar de pegar essas métricas.
Alguém quer compartilhar outros valores e referências ?
Até o próximo post !
domingo, 7 de dezembro de 2008
SANS está quebrando a banca
Eu sempre associei a SANS a algo de bom nível. Nos últimos dias, no entanto, a turma de lá está realmente quebrando a banca.
Se não bastasse o alto nível dos treinamentos (infelizmente, do custo também) e dos materiais colocados à disposição, Rob Lee e companhia deram um passo a frente e criaram um blog que, desde agosto, vem arrebentando.
Artigos interessantíssimos, vários colaboradores e 90% dos posts sendo úteis e práticos; essa é uma receita de um blog de sucesso, que está atraindo a atenção de muita gente ligada na nossa ciência.
Coloque aí no seu bookmark, você não vai se arrepender: http://sansforensics.wordpress.com/
Recentemente, para não deixar barato, a turma de lá disponibilizou uma máquina virtual super bem bolada (SIFT), que é usada nos cursos de Forensics. A parte de um bom grupo de ferramentas, que inclui o novo PTK, a grandiosíssima sacação deles foi colocar diretórios pré-determinados para armazenar a imagem a ser analisada, e para o mounting point. A jogada é que esses dois diretórios pré-determinados são compartilhados via SAMBA. Daí, você pode montar uma imagem NTFS read-only nesse mouting point, alternar para a máquina real Windows, e mapear esses diretórios. O que você ganha com isso ? Simplesmente todos os arquivos da imagem estão montadinhos, read-only, e acessível para suas ferramentas Windows poderem fuçar.
Engenhoso, não ?
Alguém já está usando o SIFT em investigações e gostaria de compartilhar algumas impressões ?
Até o próximo post !
PS: É, deixei passar batido o assunto Futebol ... Afundaram a minha caravela, fazer o quê ??? Ano que vem a gente chega junto com um mega submarino nuclear ... :)
Se não bastasse o alto nível dos treinamentos (infelizmente, do custo também) e dos materiais colocados à disposição, Rob Lee e companhia deram um passo a frente e criaram um blog que, desde agosto, vem arrebentando.
Artigos interessantíssimos, vários colaboradores e 90% dos posts sendo úteis e práticos; essa é uma receita de um blog de sucesso, que está atraindo a atenção de muita gente ligada na nossa ciência.
Coloque aí no seu bookmark, você não vai se arrepender: http://sansforensics.wordpress.com/
Recentemente, para não deixar barato, a turma de lá disponibilizou uma máquina virtual super bem bolada (SIFT), que é usada nos cursos de Forensics. A parte de um bom grupo de ferramentas, que inclui o novo PTK, a grandiosíssima sacação deles foi colocar diretórios pré-determinados para armazenar a imagem a ser analisada, e para o mounting point. A jogada é que esses dois diretórios pré-determinados são compartilhados via SAMBA. Daí, você pode montar uma imagem NTFS read-only nesse mouting point, alternar para a máquina real Windows, e mapear esses diretórios. O que você ganha com isso ? Simplesmente todos os arquivos da imagem estão montadinhos, read-only, e acessível para suas ferramentas Windows poderem fuçar.
Engenhoso, não ?
Alguém já está usando o SIFT em investigações e gostaria de compartilhar algumas impressões ?
Até o próximo post !
PS: É, deixei passar batido o assunto Futebol ... Afundaram a minha caravela, fazer o quê ??? Ano que vem a gente chega junto com um mega submarino nuclear ... :)
quinta-feira, 4 de dezembro de 2008
E continua a chuva ...
Acho que estamos em um daqueles momentos únicos da história do planeta; Não sei o motivo, talvez algum alinhamento especial que, somado às marés, ao número de batatas roxas plantadas recentemente na costa oeste da França e a passagem de algum cometa, formaram uma conjunção de fatores que repercutiu em duas grandes frentes:
1) O Vasco não vai parar na segunda divisão de jeito nenhum;
2) Várias pessoas no mundo todo estão, ao que parece ao mesmo tempo, acordando, e depois de um longo bocejo e esticada, dizem: "Hoje eu vou criar um live cd de Informática Forense".
O resultado do item 1) da pesquisa eu só vou mesmo saber no domingo à noite, mas o resultado da segunda linha já é por demais visível. Ontem, eu acabei esbarrando em mais dois ...
O famoso e excelente live CD FCCU, da turma belga, tem versão nova. A 12.1 vem com algumas melhorias, incluindo a nova versão do GuyMager, ferramentas para aquisição de memória RAM e respectiva análise, além de Análise de Registry (RegRipper, do Harlan Carvey).
Já a turma tupiniquim não deixou por menos, e atualizou o FDTK para a versão 2.0. Não há um "what's new" da versão nova, mas vou descobrir e postar aqui.
Alguém já está usando uma das duas e gostaria de comentar ?
Recentemente, eu usei muito rapidamente o CAINE, o DEFT4 e o PlainSight, que comentei em artigos anteriores. Fiquei um pouco frustrado, mas como usei com pouco tempo, admito que não prestei atenção aos detalhes. Em breve, espero publicar um mega-comparativo entre todas as versões novas desses Live CDs 0800 de Forense Computacional.
Até o próximo post !
1) O Vasco não vai parar na segunda divisão de jeito nenhum;
2) Várias pessoas no mundo todo estão, ao que parece ao mesmo tempo, acordando, e depois de um longo bocejo e esticada, dizem: "Hoje eu vou criar um live cd de Informática Forense".
O resultado do item 1) da pesquisa eu só vou mesmo saber no domingo à noite, mas o resultado da segunda linha já é por demais visível. Ontem, eu acabei esbarrando em mais dois ...
O famoso e excelente live CD FCCU, da turma belga, tem versão nova. A 12.1 vem com algumas melhorias, incluindo a nova versão do GuyMager, ferramentas para aquisição de memória RAM e respectiva análise, além de Análise de Registry (RegRipper, do Harlan Carvey).
Já a turma tupiniquim não deixou por menos, e atualizou o FDTK para a versão 2.0. Não há um "what's new" da versão nova, mas vou descobrir e postar aqui.
Alguém já está usando uma das duas e gostaria de comentar ?
Recentemente, eu usei muito rapidamente o CAINE, o DEFT4 e o PlainSight, que comentei em artigos anteriores. Fiquei um pouco frustrado, mas como usei com pouco tempo, admito que não prestei atenção aos detalhes. Em breve, espero publicar um mega-comparativo entre todas as versões novas desses Live CDs 0800 de Forense Computacional.
Até o próximo post !
segunda-feira, 1 de dezembro de 2008
Chuva de Live CDs
É, parece mesmo que está aberta a temporada de lançamento de Live CDs. O que é muito bom, diga-se de passagem.
Depois do tão esperado lançamento do Helix 2.0, anunciei recentemente a versão nova do DEFT (DEFT 4) e o lançamento do CAINE. Agora é a vez de mais algumas iniciativas.
O PlainSight é um live CD baseado no Linux (Knoppix, aparentemente) e de acordo com seu criador, permite:
- Uso do RegRipper para análise de Registry
- Uso de alguns utilitários para análise de Browser (history, cookies, etc)
- Forense de Memória com o Volatility
- Carving
- Roda a partir de CD ou pen drive
O Drive Prophet é uma iniciativa do Mark McKinnon, da Red Wolf. Esse não é um live cd, mas um software para captar vários vestígios deixados na máquina e, com isso, montar uma triagem de quem passará pela dead acquisition. A lista de informações que o Drive Prophet emite pode ser vista no website dele.
Por último, mas não menos importante, vem a turma da SANS, com o SIFT (Sans Investigative Forensics Toolkit). Esse também não é um live cd, mas um virtual appliance que serve para análise forense. Na verdade, esse é o appliance usado no curso de Forense da SANS. Entre outras, o SIFT permite usar o novíssimo PTK como interface para o Sleuthkit, além de já trazer o Volatility para análise de dumps de memória.
Em breve estarei ampliando a minha análise inicial (já postada aqui no blog) para incluir todas essas novas opções. Alguém já está as usando ?
Até o próximo post !
Depois do tão esperado lançamento do Helix 2.0, anunciei recentemente a versão nova do DEFT (DEFT 4) e o lançamento do CAINE. Agora é a vez de mais algumas iniciativas.
O PlainSight é um live CD baseado no Linux (Knoppix, aparentemente) e de acordo com seu criador, permite:
- Uso do RegRipper para análise de Registry
- Uso de alguns utilitários para análise de Browser (history, cookies, etc)
- Forense de Memória com o Volatility
- Carving
- Roda a partir de CD ou pen drive
O Drive Prophet é uma iniciativa do Mark McKinnon, da Red Wolf. Esse não é um live cd, mas um software para captar vários vestígios deixados na máquina e, com isso, montar uma triagem de quem passará pela dead acquisition. A lista de informações que o Drive Prophet emite pode ser vista no website dele.
Por último, mas não menos importante, vem a turma da SANS, com o SIFT (Sans Investigative Forensics Toolkit). Esse também não é um live cd, mas um virtual appliance que serve para análise forense. Na verdade, esse é o appliance usado no curso de Forense da SANS. Entre outras, o SIFT permite usar o novíssimo PTK como interface para o Sleuthkit, além de já trazer o Volatility para análise de dumps de memória.
Em breve estarei ampliando a minha análise inicial (já postada aqui no blog) para incluir todas essas novas opções. Alguém já está as usando ?
Até o próximo post !
segunda-feira, 24 de novembro de 2008
Não agradou ...
Uma iniciativa bastante interessante causou alguma polêmica no meio da Forense Computacional americana.
Lançado a poucos meses, a National Repository for Digital Forensic Intelligence (NRDFI, para os amantes de acrônimos) é um site que oferece uma plataforma para compartilhamento de conhecimento sobre Forense Computacional.
O site começou com mais de 1000 artigos, dicas e trabalhos sobre o assunto. Até aqui é tudo boa notícia, certo ?
A parte ruim começa com a questão de acesso. O site é restrito aos LE americanos - agentes da lei. Na prática, uma grande maioria de experts vai ficar de fora, e isso acabou levando o projeto a receber uma enxurrada de críticas. A grande ironia, inclusive, é que os autores da maioria dos textos disponíveis lá não vai poder acessá-los ... Alguns também alegaram que o projeto não é nada além do que a ForensicWiki é. No fim das contas, parecem estar certos. Talvez a diferença principal seja que a NRDFI tenha gente paga para adicionar os artigos o tempo todo, enquanto que a ForensicWiki ganha artigos de forma voluntária.
De qualquer forma, achei o projeto interessante. Não conheço nenhum tipo de iniciativa como essa aqui pelas nossas bandas. Alguém conhece alguma ? Talvez isso seja mais um tópico a discutir nas nossas listas por aí ...
Comentários ?
Até o próximo post !
Lançado a poucos meses, a National Repository for Digital Forensic Intelligence (NRDFI, para os amantes de acrônimos) é um site que oferece uma plataforma para compartilhamento de conhecimento sobre Forense Computacional.
O site começou com mais de 1000 artigos, dicas e trabalhos sobre o assunto. Até aqui é tudo boa notícia, certo ?
A parte ruim começa com a questão de acesso. O site é restrito aos LE americanos - agentes da lei. Na prática, uma grande maioria de experts vai ficar de fora, e isso acabou levando o projeto a receber uma enxurrada de críticas. A grande ironia, inclusive, é que os autores da maioria dos textos disponíveis lá não vai poder acessá-los ... Alguns também alegaram que o projeto não é nada além do que a ForensicWiki é. No fim das contas, parecem estar certos. Talvez a diferença principal seja que a NRDFI tenha gente paga para adicionar os artigos o tempo todo, enquanto que a ForensicWiki ganha artigos de forma voluntária.
De qualquer forma, achei o projeto interessante. Não conheço nenhum tipo de iniciativa como essa aqui pelas nossas bandas. Alguém conhece alguma ? Talvez isso seja mais um tópico a discutir nas nossas listas por aí ...
Comentários ?
Até o próximo post !
quarta-feira, 19 de novembro de 2008
Novos Live CDs
Recentemente descobri duas novas opções de Live CD para Informática Forense.
O DEFT já está na versão 4, que foi lançada há poucos dias. Ela é baseada no Xubuntu 8.10, e entre outros utilitários, possui:
- Sleuthkit
- Autopsy
- Afflib
- Guymager
- dc3dd
- Linen
- Xplico
Uma opção que em breve estará liberada, segundo o seu site, é a versão para ser instalada em USB.
A turma de Informática Forense italiana está mesmo com a corda toda, pois o outro Live CD recentemente lançado também vem de lá.
O Caine (Computer Aided Investigative Environment) foi produzido em cima do Ubuntu 8.04 e tem, entre outros, os utilitários:
- Autopsy 2.20
- SleuthKit 3.0 SFDumper
- Guymager
- LRRP
- Fundl
- scalpel
- foremost
- stegdetect
- testdisk
- libewf
- afflib
- gparted
- ophcrack
- liveusb
- gtk-recordmydesktop
Em breve pretendo publicar um comparativo entre ambos, e atualizar o que já publiquei anteriormente, onde já constam Helix, FCCU e FTDK.
Alguém já testou um dois dois e gostaria de comentar ?
Até o próximo post !
O DEFT já está na versão 4, que foi lançada há poucos dias. Ela é baseada no Xubuntu 8.10, e entre outros utilitários, possui:
- Sleuthkit
- Autopsy
- Afflib
- Guymager
- dc3dd
- Linen
- Xplico
Uma opção que em breve estará liberada, segundo o seu site, é a versão para ser instalada em USB.
A turma de Informática Forense italiana está mesmo com a corda toda, pois o outro Live CD recentemente lançado também vem de lá.
O Caine (Computer Aided Investigative Environment) foi produzido em cima do Ubuntu 8.04 e tem, entre outros, os utilitários:
- Autopsy 2.20
- SleuthKit 3.0 SFDumper
- Guymager
- LRRP
- Fundl
- scalpel
- foremost
- stegdetect
- testdisk
- libewf
- afflib
- gparted
- ophcrack
- liveusb
- gtk-recordmydesktop
Em breve pretendo publicar um comparativo entre ambos, e atualizar o que já publiquei anteriormente, onde já constam Helix, FCCU e FTDK.
Alguém já testou um dois dois e gostaria de comentar ?
Até o próximo post !
terça-feira, 18 de novembro de 2008
Curto, porém pesado ...
O post de hoje é curto, porém meio pesado. Talvez por isso tenha também chegado atrasado.
Há cerca de um mês está rolando um rolo meio estranho envolvendo duas gigantes da Forense Computacional mundial. A Guidance, criadora do EnCase, não teve um ano bom e, ao que tudo parece, viu suas ações caírem em queda livre neste ano. A AccessData, que é a mãe do FTK, não deixou por menos e aproveitou para jogar lenha na fogueira: ofereceu para comprar a Guidance, comprando ações dela por U$ 4.50.
Segundo alguns comentaristas, não se sabe ao certo se a estratégia seria genuína ou se a AccessData está jogando a pá de cal. O fato é que a Guidance negou a oferta e, mesmo em meio a uma possível negação da negociação pela lei antitrust americana, o CEO da AccessData nem quis saber e já avisou que vai fazer a oferta direto aos acionistas.
Há quem diga estar rolando um certo veneno na situação, pois o atual CEO já foi executivo da Guidance.
Vamos esperar o melhor para o mercado e ver no que dá esta situação inusitada.
Até o próximo post !
Há cerca de um mês está rolando um rolo meio estranho envolvendo duas gigantes da Forense Computacional mundial. A Guidance, criadora do EnCase, não teve um ano bom e, ao que tudo parece, viu suas ações caírem em queda livre neste ano. A AccessData, que é a mãe do FTK, não deixou por menos e aproveitou para jogar lenha na fogueira: ofereceu para comprar a Guidance, comprando ações dela por U$ 4.50.
Segundo alguns comentaristas, não se sabe ao certo se a estratégia seria genuína ou se a AccessData está jogando a pá de cal. O fato é que a Guidance negou a oferta e, mesmo em meio a uma possível negação da negociação pela lei antitrust americana, o CEO da AccessData nem quis saber e já avisou que vai fazer a oferta direto aos acionistas.
Há quem diga estar rolando um certo veneno na situação, pois o atual CEO já foi executivo da Guidance.
Vamos esperar o melhor para o mercado e ver no que dá esta situação inusitada.
Até o próximo post !
quinta-feira, 13 de novembro de 2008
Resposta atrasada
Ao rever meu camarada Wagner Elias no H2HC, lembrei que ficamos de papear a respeito de um procedimento em alto nível para suspeita de vazamento de dados por comprometimento de um servidor. O tempo estava escasso, muitas viagens acontecendo e o papo acabou não acontecendo.
Ao revê-lo, decidi abordar o assunto neste post aqui.
Basicamente, algumas leis americanas estão requerendo que seja determinada a extensão de um ataque, ao ponto de poder provar que os dados dos clientes não foram comprometidos. Caso a empresa não consiga apresentar provas de que nada foi comprometido, ela está obrigada a reportar a perda publicamente. Outras determinações nesse sentido estão por conta do PCI DSS, um conjunto de requisitos de Segurança de Informações para quem opera com cartões de crédito. Um dos requisitos seria a existência de um procedimento para a equipe de resposta a incidentes que deixasse explícito como agir em caso de suspeita de ataque. O procedimento seria complementar a resposta do incidente, indicando os passos necessários para determinar se houve ou não vazamento de informações privadas, principalmente as info relacionadas a número de cartão de crédito.
Não vou detalhar o procedimento aqui no post, mas a linha seria seguir:
1. Logs de rede relativos a infraestrutura e segurança (logs do firewall, logs dos roteadores, logs de acesso do servidor de dados).
2. Captura de pacotes de rede nas máquinas suspeitas de estarem comprometidas.
3. Imagem da memória das máquinas comprometidas.
4. Imagem forense das máquinas comprometidas.
Os dados dos quatro itens acima, devidamente correlacionados, poderão indicar se houve ou não o comprometimento dos dados. Pelo item 1 é possível verificar aquilo que foi negado ou permitido nas operações, e que podem ter culminado no comprometimento do servidor. Por exemplo, se os dados estão armazenados no servidor de banco de dados, os logs da trilha de auditoria deverão dar indicações do acesso e/ou modificação dos dados.
Como já foi comentado, o servidor com possibilidade de comprometimento não deve ser imediatamente desligado. Antes, deve-se espelhar sua porta no switch para um sniffer que colha informações e pacotes de todas as comunicações para esse servidor. O resultado, geralmente um arquivo pcap, deve ser analisado em busca de palavras chave nos pacotes.
Com o item 3 e 4 conseguimos, a luz de outros procedimentos, definir o que estava na memória e no disco que pudesse implicar ou indicar perda dos dados.
Alguém quer acrescentar algo ?
Até o próximo post !
Ao revê-lo, decidi abordar o assunto neste post aqui.
Basicamente, algumas leis americanas estão requerendo que seja determinada a extensão de um ataque, ao ponto de poder provar que os dados dos clientes não foram comprometidos. Caso a empresa não consiga apresentar provas de que nada foi comprometido, ela está obrigada a reportar a perda publicamente. Outras determinações nesse sentido estão por conta do PCI DSS, um conjunto de requisitos de Segurança de Informações para quem opera com cartões de crédito. Um dos requisitos seria a existência de um procedimento para a equipe de resposta a incidentes que deixasse explícito como agir em caso de suspeita de ataque. O procedimento seria complementar a resposta do incidente, indicando os passos necessários para determinar se houve ou não vazamento de informações privadas, principalmente as info relacionadas a número de cartão de crédito.
Não vou detalhar o procedimento aqui no post, mas a linha seria seguir:
1. Logs de rede relativos a infraestrutura e segurança (logs do firewall, logs dos roteadores, logs de acesso do servidor de dados).
2. Captura de pacotes de rede nas máquinas suspeitas de estarem comprometidas.
3. Imagem da memória das máquinas comprometidas.
4. Imagem forense das máquinas comprometidas.
Os dados dos quatro itens acima, devidamente correlacionados, poderão indicar se houve ou não o comprometimento dos dados. Pelo item 1 é possível verificar aquilo que foi negado ou permitido nas operações, e que podem ter culminado no comprometimento do servidor. Por exemplo, se os dados estão armazenados no servidor de banco de dados, os logs da trilha de auditoria deverão dar indicações do acesso e/ou modificação dos dados.
Como já foi comentado, o servidor com possibilidade de comprometimento não deve ser imediatamente desligado. Antes, deve-se espelhar sua porta no switch para um sniffer que colha informações e pacotes de todas as comunicações para esse servidor. O resultado, geralmente um arquivo pcap, deve ser analisado em busca de palavras chave nos pacotes.
Com o item 3 e 4 conseguimos, a luz de outros procedimentos, definir o que estava na memória e no disco que pudesse implicar ou indicar perda dos dados.
Alguém quer acrescentar algo ?
Até o próximo post !
terça-feira, 11 de novembro de 2008
Se a moda pega ...
Estava lendo esses dias um artigo no blog do Keith Jones e Brian Dykstra. Não é um artigo muito novo, e comentava sobre um suposto especialista em Forense Computacional ter sido processado nos EUA, após vir a tona que o tal especialista não sacava do riscado tanto assim.
O artigo é uma espécie de alerta, já que muita gente vai pelo que lê no currículo e acaba sendo prejudicada por um trabalho ou assistência mal feitos. Foi o caso em questão, pois ao que parece o tal perito andou incrementando o currículo com lorotas.
O caso do artigo não aconteceria aqui simplesmente porque lá há uma fase do processo chamado cross examination, onde o advogado da outra parte tenta, como parte da estratégia, literalmente acabar com a credibilidade do perito. Foi assim que o tal malandro foi descoberto.
Fiquei lembrando certas situações. Realmente, já estive em casos onde percebi que o profissional não sabia absolutamente nada sobre a parte mais básica de Forense Computacional. Já vi gente procurando informações com DIR, tendo bootando a máquina pelo HD original, que estava sendo guardado lacrado. Vi um cara uma vez dizer que havia um malware provocando certo comportamento, mas como não conseguia provar, disse que o malware estava instalado na placa mãe ...
Comente as histórias que você já viu. Afinal, pérolas são para serem apreciadas ;)
Até o próximo post !
O artigo é uma espécie de alerta, já que muita gente vai pelo que lê no currículo e acaba sendo prejudicada por um trabalho ou assistência mal feitos. Foi o caso em questão, pois ao que parece o tal perito andou incrementando o currículo com lorotas.
O caso do artigo não aconteceria aqui simplesmente porque lá há uma fase do processo chamado cross examination, onde o advogado da outra parte tenta, como parte da estratégia, literalmente acabar com a credibilidade do perito. Foi assim que o tal malandro foi descoberto.
Fiquei lembrando certas situações. Realmente, já estive em casos onde percebi que o profissional não sabia absolutamente nada sobre a parte mais básica de Forense Computacional. Já vi gente procurando informações com DIR, tendo bootando a máquina pelo HD original, que estava sendo guardado lacrado. Vi um cara uma vez dizer que havia um malware provocando certo comportamento, mas como não conseguia provar, disse que o malware estava instalado na placa mãe ...
Comente as histórias que você já viu. Afinal, pérolas são para serem apreciadas ;)
Até o próximo post !
domingo, 9 de novembro de 2008
H2HC - Segundo Dia
Travei uma luta enorme com o travesseiro para chegar lá no horário da primeira palestra, mas perdi feio. Quando cheguei já estava rolando uma discussão interessantíssima sobre a produção nacional em relação a Segurança de Informações.
Capitaneada pelo Ronaldo Vasconcelos, da Security Guys, a palestra terminou e o assunto rolou, nas perguntas, para a turma do projeto Mayhen, que andou distribuindo camisetas irônicas no evento com o nome da turma que já foi "ownada". Alguns exibiam um bottom enorme, parecido com aqueles "Quer emagrecer ? Pergunte-me como" que muitos gordinhos exibem por aí. No bottom, em letras garrafais, estava "I'm not a CISSP". hahahaha. Tive vontade de pendurar meu bottom da ISC2, já que o clima estava para brincadeiras, mas não daria para rivalizar com o deles, que devia ser 5 vezes maior. Na próxima conferência acho que vou fazer um bottom enorme "Yes, I'm CISSP and my bottom is bigger than yours" hahahaha.
Bem, bottoms a parte, o segundo dia prometia. Estava começando muito bem. Júlio Auto sucedeu e não deixou a peteca cair, mostrando Reverse Engineering muito bem. Excelente palestra. o evento estava um pouco atrasado por conta do volume de perguntas na palestra do Ronaldo, mas foi acertado com a ausência do Rafael Silva. Tudo certo, fomos ao almoço e na volta estava o Guto Motta, da CheckPoint, mostrando as vulnerabilidades do sistema GPRS.
Assustador ...
Em seguida, a palestra mais esperada (pelo menos por mim e acho que outros ligados a Informática Forense). Diogo Camargo falou sobre Direito Eletrônico e como a coisa está andando no Brasil. Muito boa palestra, várias perguntas apareceram e, no coffee break, eu tive de zarpar, pois teria de viajar. A palestra que perdi prometia bastante, Wagner Elias, um dos papas da Segurança de Aplicações Web, estava a postos.
No fim das contas, perdi também o resultado do CTF. Vou ver no site do evento depois.
Alguém gostaria de comentar algo sobre o evento ?
Até o próximo post !
Capitaneada pelo Ronaldo Vasconcelos, da Security Guys, a palestra terminou e o assunto rolou, nas perguntas, para a turma do projeto Mayhen, que andou distribuindo camisetas irônicas no evento com o nome da turma que já foi "ownada". Alguns exibiam um bottom enorme, parecido com aqueles "Quer emagrecer ? Pergunte-me como" que muitos gordinhos exibem por aí. No bottom, em letras garrafais, estava "I'm not a CISSP". hahahaha. Tive vontade de pendurar meu bottom da ISC2, já que o clima estava para brincadeiras, mas não daria para rivalizar com o deles, que devia ser 5 vezes maior. Na próxima conferência acho que vou fazer um bottom enorme "Yes, I'm CISSP and my bottom is bigger than yours" hahahaha.
Bem, bottoms a parte, o segundo dia prometia. Estava começando muito bem. Júlio Auto sucedeu e não deixou a peteca cair, mostrando Reverse Engineering muito bem. Excelente palestra. o evento estava um pouco atrasado por conta do volume de perguntas na palestra do Ronaldo, mas foi acertado com a ausência do Rafael Silva. Tudo certo, fomos ao almoço e na volta estava o Guto Motta, da CheckPoint, mostrando as vulnerabilidades do sistema GPRS.
Assustador ...
Em seguida, a palestra mais esperada (pelo menos por mim e acho que outros ligados a Informática Forense). Diogo Camargo falou sobre Direito Eletrônico e como a coisa está andando no Brasil. Muito boa palestra, várias perguntas apareceram e, no coffee break, eu tive de zarpar, pois teria de viajar. A palestra que perdi prometia bastante, Wagner Elias, um dos papas da Segurança de Aplicações Web, estava a postos.
No fim das contas, perdi também o resultado do CTF. Vou ver no site do evento depois.
Alguém gostaria de comentar algo sobre o evento ?
Até o próximo post !
sábado, 8 de novembro de 2008
H2HC - Primeiro Dia
O evento começou bem, e com palestras de peso.
Steve Adegbite fez uma excelente apresentação das iniciativas da Microsoft em relação à Segurança nos produtos. A palestra não se prendeu a um produto específico, mas sim a algumas metodologias usadas no grupo que ele faz parte. A partir daí, tivemos duas palestras bastante técnicas, com detalhes, sobre o funcionamento da BIOS, do barramento PCI e como explorar essas características para criar rootkits. A outra, da turma da Immunity, indicava como detonar o esquema do DEP.
Findo o almoço, Rodrigo Costa teve a árdua tarefa de manter a turma acordada depois da churrascaria, feijoada, buchada e o que mais a turma almoçou. Falou sobre Samba (o sistema, não o ritmo musical) e foi sucedido por um hermano muito gente boa, Francisco Amato, que encarou aulas de português e deu conta do recado ao mostrar o seu projeto Evilgrade. Foi a melhor palestra do dia, na minha opinião, e enquanto o ouvia, imaginei que artefatos poderiam ser colhidos nas vítimas desse tipo de ataque. Basicamente, ele desenvolveu uma ferramenta que engana o DNS durante requisições de update (Windows Update, Java, Adobe e outros). No fim das contas, ele envia um conteúdo para ser executado na máquina vítima como se fosse um patch de update. Mais uma palestra sobre Wireless USB e o dia estava terminado.
Nesse interim, algumas peças raras circulavam com dois notebooks, algumas vezes digitando freneticamente. Era o Capture The Flag rolando.
Amanha comento o segundo dia da conferência.
Até o próximo post !
Steve Adegbite fez uma excelente apresentação das iniciativas da Microsoft em relação à Segurança nos produtos. A palestra não se prendeu a um produto específico, mas sim a algumas metodologias usadas no grupo que ele faz parte. A partir daí, tivemos duas palestras bastante técnicas, com detalhes, sobre o funcionamento da BIOS, do barramento PCI e como explorar essas características para criar rootkits. A outra, da turma da Immunity, indicava como detonar o esquema do DEP.
Findo o almoço, Rodrigo Costa teve a árdua tarefa de manter a turma acordada depois da churrascaria, feijoada, buchada e o que mais a turma almoçou. Falou sobre Samba (o sistema, não o ritmo musical) e foi sucedido por um hermano muito gente boa, Francisco Amato, que encarou aulas de português e deu conta do recado ao mostrar o seu projeto Evilgrade. Foi a melhor palestra do dia, na minha opinião, e enquanto o ouvia, imaginei que artefatos poderiam ser colhidos nas vítimas desse tipo de ataque. Basicamente, ele desenvolveu uma ferramenta que engana o DNS durante requisições de update (Windows Update, Java, Adobe e outros). No fim das contas, ele envia um conteúdo para ser executado na máquina vítima como se fosse um patch de update. Mais uma palestra sobre Wireless USB e o dia estava terminado.
Nesse interim, algumas peças raras circulavam com dois notebooks, algumas vezes digitando freneticamente. Era o Capture The Flag rolando.
Amanha comento o segundo dia da conferência.
Até o próximo post !
sexta-feira, 7 de novembro de 2008
H2HC 2008
Estarei a partir desse sábado na H2HC, em Sampa. Quem estiver por lá e quiser papear, é só me procurar.
Vejo a turma de Forense por lá.
Grande abraço e até o próximo post !
Vejo a turma de Forense por lá.
Grande abraço e até o próximo post !
terça-feira, 28 de outubro de 2008
Progresso a passos de cágado
Tenho refletido bastante ultimamente a respeito de determinados assuntos envolvendo Forense Computacional.
Parte dessa preocupação começou após um trabalho e aumentou por conta de alguns artigos que curiosamente falavam de um mesmo assunto: Não estamos acompanhando o ritmo da tecnologia. Pior, não estamos evoluindo juridicamente também.
Crise de Identidade
o meu último post falou sobre ainda não termos um nome, uma identidade. Ao tocar nesse assunto, minha preocupação vai muito mais além de um simples nome. Não que o nome não seja importante, mas essa confusão de nomes que usamos para designar nossa ciência/ofício indica um tanto mais. Indica que ainda estamos em um estágio muito inicial. Percebi também que essa indefinição é menor no setor policial, onde entre os peritos criminais já acontece um consenso maior em relação a isso.
Acontece no mundo todo
A preocupação com o ritmo lento ao qual nos adaptamos à tecnologia está atingindo escala mundial. Basta ver que li recentemente dois artigos e um capítulo de um livro, e todos falavam da mesma preocupação.
Desde que a Informática Forense surgiu (é, vou mesclar nomes até que decidamos qual é o mais aplicável ... ;D), pouca coisa evoluiu em termos de conceitos. O modelo aquisição-preservação-análise-documentação/reporte praticamente continua sendo usado, e por outro lado, a mídia mais nanica hoje seria um HD de 80 Gb. Faça uma breve pesquisa; pergunte aí aos seus amigos quanto cada um tem em casa em termos de HD e você vai ver que esse modelo de aquisição não funciona mais. Nos casos onde ainda é possível, você vai passar horas duplicando um HD e "horas * n" na análise dessa miríade de informações.
Falando em termos de problemas de tempo, imagine como isso é problemático para os nossos colegas policiais, que são relativamente poucos frente a enorme demanda. Alguns comentam que em uma pequena operação 50 micros chegam a ser apreendidos, e se você pensar bem, a maioria das residências hoje tem pelo menos um micro. Neste contexto, ou fazemos algo para melhorar, ou então todos os laboratórios forenses do mundo não serão suficientes para atender a demanda.
Não pense que a vida é tranquila para quem trabalha no mercado corporativo. Discos de vários Terabytes não são mais incomuns, e tudo em arrays dificílimos de remontar. Em alguns casos, além desses enormes discos, você ainda é presenteado com um servidor que não tem interface rápida (USB 1.0 ou 1.1), e nem pensar em desligar o bicho. Todos querem a melhor investigação, definindo o grau de comprometimento dos dados e do servidor, mas ele fica de pé !
O problema não está limitado a tecnologia, mas em nosso caso, alastra-se na seara jurídica. Situações envolvendo tecnologia estão acontecendo com cada vez mais frequência. Não apenas crimes, mas processos cíveis e até mesmo trabalhistas estão demandando perícias e investigações em pendrives, HDs e outras mídias. Infelizmente, apesar do número de casos, ainda há muitos Juízes que não conhecem sobre o assunto, ou conhecem muito pouco. Advogados, idem. Você consegue apontar planejamentos, estudos ou documentações voltadas a resolver isso ? Não tenho conhecimento de nenhum manual de orientação da parte legal, do que seria aceitável ou não envolvendo tarefas em Forense Computacional. Dessa forma, apesar de muitas orientações de como proceder, há uma incerteza sobre os métodos, e isso piora quando estamos nos deparando com problemas como os narrados acima, de mídias enormes.
Questão de Ritmo
A questão é que, seja na parte tecnológica ou legal, os problemas e dificuldades estão crescendo a um ritmo maior do que as respostas que estamos dando. Poucas soluções endereçam tecnologia. Os métodos de Live Acquisition são ainda pouco conhecidos, e por vezes contestados por ainda oferecerem certo risco de alteração nos dados. Há, inclusive, muita discussão sobre isso por aí, onde se afirma que um procedimento bem documentado produz alterações previsíveis e sob controle. No entanto, essas discussões não acontecem levando em conta o sistema jurídico usado no Brasil (são foruns americanos, australianos e ingleses, na maioria).
Tecnologicamente, aconteceu uma grande reviravolta bem recentemente. Uma empresa americana lançou um produto chamado F-Response que consegue mapear fisicamente pela rede um disco em outra máquina. Esse mapeamento é read-only, o que garante a integridade dos dados colhidos. É um grande passo, e está ficando melhor ainda, pois há uma versão Beta que promete fazer aquisição da memória RAM também. Porém, melhorias tecnológicas precisam ser seguidas por melhorias na parte legal. de nada adianta podemos usar ferramentas novas se legalmente elas ainda não são reconhecidas ou tem seus resultados aceitos. Pior, mesmo os métodos não são discutidos como devido. Um exemplo disso foi divulgado em uma lista recentemente, onde um participante disse ter trabalhado em um processo onde um print screen da tela foi aceito como prova, enquanto que todos os advogados indicam fazer a Ata Notarial.
Do que precisamos, afinal ?
Precisamos definitivamente de pensar nos problemas que a tecnologia está apresentando para os métodos atuais. Precisamos repensar neles e definir novos procedimentos que permitam, com segurança e exatidão, mostrar o que está acontecendo sem ter que levar os milhares de Terabytes. Precisamos que estes procedimentos dêem suporte tanto ao trabalho dos policiais, em suas perícias a cerca de crimes, quanto aos que trabalham no mercado corporativo. Precisamos que eles sejam adequadamente divulgados para todos os envolvidos: Juízes, advogados e peritos.
Vamos discutir sobre isso ? Comente, afinal só vamos resolver esse pepino se colocarmos todos os envolvidos para conversar.
Até o próximo post !
Parte dessa preocupação começou após um trabalho e aumentou por conta de alguns artigos que curiosamente falavam de um mesmo assunto: Não estamos acompanhando o ritmo da tecnologia. Pior, não estamos evoluindo juridicamente também.
Crise de Identidade
o meu último post falou sobre ainda não termos um nome, uma identidade. Ao tocar nesse assunto, minha preocupação vai muito mais além de um simples nome. Não que o nome não seja importante, mas essa confusão de nomes que usamos para designar nossa ciência/ofício indica um tanto mais. Indica que ainda estamos em um estágio muito inicial. Percebi também que essa indefinição é menor no setor policial, onde entre os peritos criminais já acontece um consenso maior em relação a isso.
Acontece no mundo todo
A preocupação com o ritmo lento ao qual nos adaptamos à tecnologia está atingindo escala mundial. Basta ver que li recentemente dois artigos e um capítulo de um livro, e todos falavam da mesma preocupação.
Desde que a Informática Forense surgiu (é, vou mesclar nomes até que decidamos qual é o mais aplicável ... ;D), pouca coisa evoluiu em termos de conceitos. O modelo aquisição-preservação-análise-documentação/reporte praticamente continua sendo usado, e por outro lado, a mídia mais nanica hoje seria um HD de 80 Gb. Faça uma breve pesquisa; pergunte aí aos seus amigos quanto cada um tem em casa em termos de HD e você vai ver que esse modelo de aquisição não funciona mais. Nos casos onde ainda é possível, você vai passar horas duplicando um HD e "horas * n" na análise dessa miríade de informações.
Falando em termos de problemas de tempo, imagine como isso é problemático para os nossos colegas policiais, que são relativamente poucos frente a enorme demanda. Alguns comentam que em uma pequena operação 50 micros chegam a ser apreendidos, e se você pensar bem, a maioria das residências hoje tem pelo menos um micro. Neste contexto, ou fazemos algo para melhorar, ou então todos os laboratórios forenses do mundo não serão suficientes para atender a demanda.
Não pense que a vida é tranquila para quem trabalha no mercado corporativo. Discos de vários Terabytes não são mais incomuns, e tudo em arrays dificílimos de remontar. Em alguns casos, além desses enormes discos, você ainda é presenteado com um servidor que não tem interface rápida (USB 1.0 ou 1.1), e nem pensar em desligar o bicho. Todos querem a melhor investigação, definindo o grau de comprometimento dos dados e do servidor, mas ele fica de pé !
O problema não está limitado a tecnologia, mas em nosso caso, alastra-se na seara jurídica. Situações envolvendo tecnologia estão acontecendo com cada vez mais frequência. Não apenas crimes, mas processos cíveis e até mesmo trabalhistas estão demandando perícias e investigações em pendrives, HDs e outras mídias. Infelizmente, apesar do número de casos, ainda há muitos Juízes que não conhecem sobre o assunto, ou conhecem muito pouco. Advogados, idem. Você consegue apontar planejamentos, estudos ou documentações voltadas a resolver isso ? Não tenho conhecimento de nenhum manual de orientação da parte legal, do que seria aceitável ou não envolvendo tarefas em Forense Computacional. Dessa forma, apesar de muitas orientações de como proceder, há uma incerteza sobre os métodos, e isso piora quando estamos nos deparando com problemas como os narrados acima, de mídias enormes.
Questão de Ritmo
A questão é que, seja na parte tecnológica ou legal, os problemas e dificuldades estão crescendo a um ritmo maior do que as respostas que estamos dando. Poucas soluções endereçam tecnologia. Os métodos de Live Acquisition são ainda pouco conhecidos, e por vezes contestados por ainda oferecerem certo risco de alteração nos dados. Há, inclusive, muita discussão sobre isso por aí, onde se afirma que um procedimento bem documentado produz alterações previsíveis e sob controle. No entanto, essas discussões não acontecem levando em conta o sistema jurídico usado no Brasil (são foruns americanos, australianos e ingleses, na maioria).
Tecnologicamente, aconteceu uma grande reviravolta bem recentemente. Uma empresa americana lançou um produto chamado F-Response que consegue mapear fisicamente pela rede um disco em outra máquina. Esse mapeamento é read-only, o que garante a integridade dos dados colhidos. É um grande passo, e está ficando melhor ainda, pois há uma versão Beta que promete fazer aquisição da memória RAM também. Porém, melhorias tecnológicas precisam ser seguidas por melhorias na parte legal. de nada adianta podemos usar ferramentas novas se legalmente elas ainda não são reconhecidas ou tem seus resultados aceitos. Pior, mesmo os métodos não são discutidos como devido. Um exemplo disso foi divulgado em uma lista recentemente, onde um participante disse ter trabalhado em um processo onde um print screen da tela foi aceito como prova, enquanto que todos os advogados indicam fazer a Ata Notarial.
Do que precisamos, afinal ?
Precisamos definitivamente de pensar nos problemas que a tecnologia está apresentando para os métodos atuais. Precisamos repensar neles e definir novos procedimentos que permitam, com segurança e exatidão, mostrar o que está acontecendo sem ter que levar os milhares de Terabytes. Precisamos que estes procedimentos dêem suporte tanto ao trabalho dos policiais, em suas perícias a cerca de crimes, quanto aos que trabalham no mercado corporativo. Precisamos que eles sejam adequadamente divulgados para todos os envolvidos: Juízes, advogados e peritos.
Vamos discutir sobre isso ? Comente, afinal só vamos resolver esse pepino se colocarmos todos os envolvidos para conversar.
Até o próximo post !
terça-feira, 21 de outubro de 2008
Crise de Identidade
Já parou para pensar que temos um problema de identidade ?
É um problema simples, mas acaba incomodando. Veja se você também já passou por isso.
Você encontra um amigo em uma festa. Conversa vai, conversa vem, e você pergunta:
- Rapaz, mas e o trabalho, como está indo ? Tudo bem por lá ?
- Sim, tudo certinho. Continuo trabalhando com vendas. Negocio peças de automóveis. E você, tá fazendo o quê ?
- Trabalho com algo muito interessante, além de muito novo, principalmente no contexto brasileiro. Trabalho com ......
Nesse momento você para e se pergunta qual mesmo é o nome do que você faz. São tantas opções que você já nem sabe mais o nome que usa. Para não deixar aquele espaço vago no ar e o seu amigo achar que você está trabalhando em uma dessas empresas de marketing de rede, você apela e diz "Trabalho com perícia. Perícia de computador".
Mil Nomes
No fim das contas, quem pode com toda propriedade dizer que trabalha com perícia de computadores são os peritos criminais. Esses são os únicos que são peritos. Quem trabalha na iniciativa privada pode ser nomeado perito em um processo, e nesse caso, a pessoa "está" perita.
Além disso, há uma verdadeira salada de nomes. Vejamos alguns:
- Perícia Forense Aplicada a Informática
- Perícia Computacional
- Forense Computacional
- Informática Forense
- Investigação Digital
- eDiscovery
- Forense Digital
Comentando um pouco sobre cada um:
- Perícia Forense Aplicada a Informática
É o nome usado por uma lista de discussão sobre o assunto. Acho o termo um tanto vago, pois, fazendo uma analogia, nunca li sobre expressões similares em relação a outras ciências forenses. Por exemplo, nunca vi Perícia Forense Aplicada à Medicina, ou Perícia Forense Aplicada à Química.
- Perícia Computacional
Segue a lógica dos termos Perícia Contábil, Perícia Médica, Perícia Criminal, etc. Acredito que esteja mais ligado à uma atividade/ação, denotando um exame para averiguar algo, do que ao nome de uma ciência.
- Forense Computacional
É o nome do meu blog, mas nem por isso acho o mais adequado. De qualquer forma, é a tradução literal de Computer Forensics, termo em inglês usado mundialmente. É muito usado, principalmente pelos pioneiros dessa atividade no Brasil, como a Axur, por exemplo.
- Informática Forense
É o que me parece mais lógico. Pelo menos, segue o paralelo com outras ciências forenses mais antigas, como Biologia Forense, Balística Forense, Documentoscopia Forense, etc.
- Investigação Digital
Termo aplicado às mesmas técnicas da Informática Forense, mas cujo objetivo principal não é (pelo menos inicialmente) a prova jurídica, mas sim a descoberta de informações. Acredito que este termo seja o mais aplicado quando estamos trabalhando no mercado corporativo e precisamos verificar/investigar algo.
- eDiscovery
Termo em inglês que se refere a uma etapa do processo civil no direito americano onde as evidências são apresentadas. eDiscovery seria a apresentação das evidências eletrônicas, e para isso muitas técnicas similares as técnicas de Forense Computacional são usadas. Não pode ser usado como sinônimo para Forense Computacional, ainda que use técnicas parecidas. (Agradecimento ao colega Guilherme Damásio pelos esclarecimentos e ajuda).
- Forense Digital
Aproximação do nome Forense Computacional. Alguns autores usam este termo.
Gostaria de ver comentários sobre isso. Qual nome você prefere, ou imagina que exprime da melhor maneira o nome dessa nova ciência ? Na sua opinião, essa ausência de um nome "oficial" atrapalha ?
Comentem !
Até o próximo post !
É um problema simples, mas acaba incomodando. Veja se você também já passou por isso.
Você encontra um amigo em uma festa. Conversa vai, conversa vem, e você pergunta:
- Rapaz, mas e o trabalho, como está indo ? Tudo bem por lá ?
- Sim, tudo certinho. Continuo trabalhando com vendas. Negocio peças de automóveis. E você, tá fazendo o quê ?
- Trabalho com algo muito interessante, além de muito novo, principalmente no contexto brasileiro. Trabalho com ......
Nesse momento você para e se pergunta qual mesmo é o nome do que você faz. São tantas opções que você já nem sabe mais o nome que usa. Para não deixar aquele espaço vago no ar e o seu amigo achar que você está trabalhando em uma dessas empresas de marketing de rede, você apela e diz "Trabalho com perícia. Perícia de computador".
Mil Nomes
No fim das contas, quem pode com toda propriedade dizer que trabalha com perícia de computadores são os peritos criminais. Esses são os únicos que são peritos. Quem trabalha na iniciativa privada pode ser nomeado perito em um processo, e nesse caso, a pessoa "está" perita.
Além disso, há uma verdadeira salada de nomes. Vejamos alguns:
- Perícia Forense Aplicada a Informática
- Perícia Computacional
- Forense Computacional
- Informática Forense
- Investigação Digital
- eDiscovery
- Forense Digital
Comentando um pouco sobre cada um:
- Perícia Forense Aplicada a Informática
É o nome usado por uma lista de discussão sobre o assunto. Acho o termo um tanto vago, pois, fazendo uma analogia, nunca li sobre expressões similares em relação a outras ciências forenses. Por exemplo, nunca vi Perícia Forense Aplicada à Medicina, ou Perícia Forense Aplicada à Química.
- Perícia Computacional
Segue a lógica dos termos Perícia Contábil, Perícia Médica, Perícia Criminal, etc. Acredito que esteja mais ligado à uma atividade/ação, denotando um exame para averiguar algo, do que ao nome de uma ciência.
- Forense Computacional
É o nome do meu blog, mas nem por isso acho o mais adequado. De qualquer forma, é a tradução literal de Computer Forensics, termo em inglês usado mundialmente. É muito usado, principalmente pelos pioneiros dessa atividade no Brasil, como a Axur, por exemplo.
- Informática Forense
É o que me parece mais lógico. Pelo menos, segue o paralelo com outras ciências forenses mais antigas, como Biologia Forense, Balística Forense, Documentoscopia Forense, etc.
- Investigação Digital
Termo aplicado às mesmas técnicas da Informática Forense, mas cujo objetivo principal não é (pelo menos inicialmente) a prova jurídica, mas sim a descoberta de informações. Acredito que este termo seja o mais aplicado quando estamos trabalhando no mercado corporativo e precisamos verificar/investigar algo.
- eDiscovery
Termo em inglês que se refere a uma etapa do processo civil no direito americano onde as evidências são apresentadas. eDiscovery seria a apresentação das evidências eletrônicas, e para isso muitas técnicas similares as técnicas de Forense Computacional são usadas. Não pode ser usado como sinônimo para Forense Computacional, ainda que use técnicas parecidas. (Agradecimento ao colega Guilherme Damásio pelos esclarecimentos e ajuda).
- Forense Digital
Aproximação do nome Forense Computacional. Alguns autores usam este termo.
Gostaria de ver comentários sobre isso. Qual nome você prefere, ou imagina que exprime da melhor maneira o nome dessa nova ciência ? Na sua opinião, essa ausência de um nome "oficial" atrapalha ?
Comentem !
Até o próximo post !
domingo, 19 de outubro de 2008
Já era bom, agora está melhor ainda
A Agile Risk Management, empresa criadora do F-Response, recentemente anunciou em seu website a liberação da versão 2.03 Beta, que traz a capacidade de fazer a aquisição da memória remotamente. Essa evolução nasce de uma parceria interessante da Agile com a Volatile Systems, empresa do mestre da parte de forense de memória Aaron Walters.
Em breve estarei baixando a minha versão e compartilhando aqui minhas impressões a respeito dessa maravilha. Sem dúvidas, esse é mais um grande passo para a Forense Computacional.
Alguém já baixou e gostaria de comentar ?
Até o próximo post !
Em breve estarei baixando a minha versão e compartilhando aqui minhas impressões a respeito dessa maravilha. Sem dúvidas, esse é mais um grande passo para a Forense Computacional.
Alguém já baixou e gostaria de comentar ?
Até o próximo post !
sexta-feira, 17 de outubro de 2008
Helix 2.0 - Feedback
Precisei usar o Helix recentemente em um trabalho e aproveitei para colocar a nova versão no front de batalha.
Estas são as minhas primeiras impressões e feedbacks sobre o produto. No resumo, ficou bacana.
1- É muito mais pesado do que o anterior. Nota-se isso logo de cara, o boot demora para terminar e deixar livre para operar
2- Arrancaram a melhor ferramenta de análise de todos. O PyFlag foi retirado para abrir espaço. Interessante que o PyFlag, a partir do Helix, era mesmo muito limitado. Como não contava com persistência do banco (tínhamos que fazer isso na "mão") e nem de arquivo de swap, ele acabava dando vários problemas. Ainda assim, eu esperava que se achasse uma solução para isso, e não que ele fosse removido completamente ...
Para quem não conhece, o PyFlag é uma suite de ferramentas para análise, desenvolvido por uma turma australiana, e que foi usado no último DFRWS por quase todos os primeiros colocados. O primeiro colocado, por exemplo, foi o trio do criador do PyFlag (Cohen) junto com a turma do Volatility (que foi recentemente integrado ao PyFlag).
3- O Aimage roda perfeitamente, mas o Adepto usando formato AFF não roda nem apanhando. Há um problema aqui, pelo menos aconteceu comigo em todas as tentativas. Ainda preciso ver se há um bug aberto para esse problema.
Bom, espero acrescentar mais itens a essa lista. Comentários ? Feedbacks ? Posso mandar o que postarem aqui para o mantenedor do Helix, Drew Farrey.
Até o próximo post !
Estas são as minhas primeiras impressões e feedbacks sobre o produto. No resumo, ficou bacana.
1- É muito mais pesado do que o anterior. Nota-se isso logo de cara, o boot demora para terminar e deixar livre para operar
2- Arrancaram a melhor ferramenta de análise de todos. O PyFlag foi retirado para abrir espaço. Interessante que o PyFlag, a partir do Helix, era mesmo muito limitado. Como não contava com persistência do banco (tínhamos que fazer isso na "mão") e nem de arquivo de swap, ele acabava dando vários problemas. Ainda assim, eu esperava que se achasse uma solução para isso, e não que ele fosse removido completamente ...
Para quem não conhece, o PyFlag é uma suite de ferramentas para análise, desenvolvido por uma turma australiana, e que foi usado no último DFRWS por quase todos os primeiros colocados. O primeiro colocado, por exemplo, foi o trio do criador do PyFlag (Cohen) junto com a turma do Volatility (que foi recentemente integrado ao PyFlag).
3- O Aimage roda perfeitamente, mas o Adepto usando formato AFF não roda nem apanhando. Há um problema aqui, pelo menos aconteceu comigo em todas as tentativas. Ainda preciso ver se há um bug aberto para esse problema.
Bom, espero acrescentar mais itens a essa lista. Comentários ? Feedbacks ? Posso mandar o que postarem aqui para o mantenedor do Helix, Drew Farrey.
Até o próximo post !
sábado, 4 de outubro de 2008
IC CYBER 2008
Na semana passada o Rio de Janeiro foi palco de uma Conferência Internacional sobre Crimes Cybernéticos, Perícias e Investigações na área de Informática Forense. Estava lotado de Peritos Criminais da nossa PF e também de outras Polícias. Além disso, muitos do setor privado estavam lá, principalmente da área Financeira.
Eu não podia perder essa, e vou tentar fazer um breve resumo dos três dias de conferência:
Primeiro Dia
O evento abriu com uma solenidade (Best Paper Award) e falou também do evento em 2009, que será em Natal.
Em seguida tivemos uma palestra com o Presidente da Microsoft no Brasil e outra sobre a investigação policial em crimes virtuais na Espanha.
A parte da tarde dividia as turmas, e lá estava eu no auditório D com as palestras sobre:
Eu não podia perder essa, e vou tentar fazer um breve resumo dos três dias de conferência:
Primeiro Dia
O evento abriu com uma solenidade (Best Paper Award) e falou também do evento em 2009, que será em Natal.
Em seguida tivemos uma palestra com o Presidente da Microsoft no Brasil e outra sobre a investigação policial em crimes virtuais na Espanha.
A parte da tarde dividia as turmas, e lá estava eu no auditório D com as palestras sobre:
- WMM: Palestra do Perito Galileu Souza (vencedor do Best Paper), falando sobre a ferramenta de extração de vestígios (artefatos) do Windows Live Messenger.
- O Perito Breno Rangel exibiu uma metodologia bastante interessante para tratar modificações em arquivos e sua aplicação no combate a pedofilia e a outras formas de crime virtual. A sacada de transformar uma figura em ascii para comparar o conteúdo e não os bits e bytes (que são muito diferentes devido a compactação de jpg, por exemplo) foi genial. Mandei um e-mail para ele, comentando sobre um artigo que escrevi aqui a respeito do ssdeep, ferramenta de fuzzy hash criada pelo Jesse Kornblum, para comparar arquivos desiguais, mas com certo grau de semelhança. Pode ser útil.
- Daniel Miranda e Leandro Pozzebon mostraram técnicas de OCR e sua utilização na busca de vestígios.
- Fuga para o auditório C, Palestra do David Petty sobre Ferramentas para Forense e seus desafios. Falou do EnCase quando pode, mas foi boa palestra.
Segundo Dia
Iniciamos o dia com a boa palestra de Jeffrey Hill, do Secret Service Americano, seguido por uma palestra expondo o trabalho da Guarda Civil da Espanha na luta contra os crimes virtuais e uma dupla do FBI (J Burns e Troy Kelly) fechou a manhã com uma palestra sobre análise de malwares.
Após o almoço, eu estive:
- Análise de Fluxos para coleta de evidências, de um trio de universitários. Paralelamente, peguei um pedaço da palestra sobre vestígios em iPhone e iTouch, do Perito Ivo Peixinho.
- Guilherme Braz falou sobre um projeto chamado Saint Nicholas, muito interessante, que ajuda no combate a Pedofilia fazendo uma base de hashes, no mesmo estilo que existe na NSRL.
- Thiago Cavalcante mostrou um estudo de caso de como chegou nos vestígios de um caso. Essa palestra foi uma das melhores, pois ilustrou muito bem o dia a dia de um Perito, buscando pistas e informações, garimpando literalmente o HD.
- A turma da PF estava com tudo no segundo dia, e fechei com a palestra sobre celulares como prova de crime, da Perita Andréia Stanger.
Terceiro dia
Perdi a primeira palestra - graças ao trânsito ruim que peguei na ida - mas peguei a excelente palestra do Oscar Bermudez, do CSIRT da Colômbia. Depois, tivemos uma também excelente palestra do Marcos Vinícius, Perito da PF que comentou a rotina dos trabalhos e como é a estrutura da nossa PF para o trabalho com Forense.
Uma colocação do Vinícius me chamou a atenção para um ponto. Ainda não temos um nome "oficial". Alguns chamam de Computação Forense, outros de Forense Computacional (como o meu blog), outros de Informática Forense, eDiscovery, Investigação Digital e Perícia Forense Aplicada a Informática. Precisamos resolver isso ...
Na parte da tarde:
- Curta (para o tema), mas excelente palestra do Cris Ard, da Microsoft, sobre Forense no Vista
- Gabriel Menezes mostrou a ferramenta MSN Shadow
- Stephanas e Gilson Silva finalizaram no auditório D o evento com a palestra sobre maneiras de se rastrear acessos a Internet.
O evento foi bom, mas senti falta de maior participação do setor privado. Gostaria de ter visto alguma palestra sobre como o Judiciário tem visto as questões que envolvem prova digital, mas não são crimes. Gostaria de ter visto um estudo de caso de uma investigação no setor privado, algo que mostrasse como foi conduzido e não apenas detalhes técnicos.
Também lamentei a parte das exposições. Não que estivesse ruim, mas é uma triste constatação vermos que só temos um fornecedor de produtos em Forense Computacional exibindo produtos lá. A TechBiz é competentíssima, mas um evento desses nos EUA atrairia muitos expositores ...
Terminei o evento sugerindo que no próximo tragam o Harlan Carvey ou o Jesse Kornblum. AAron Walters também não seria ruim ... Michael Cohen, Brian Carrier, ou outro do Olimpo da Computer Forensics mundial. Temos muito a aprender com esses caras ...
Gostaria de ver comentários de outros participantes, sugestões, etc. Comentem !
Até o próximo post !
segunda-feira, 29 de setembro de 2008
Até que enfim !!!! Helix 2.0
Isso é que dá estar muito ocupado. Coisas interessantes acontecem e acabamos sabendo só depois de quase 15 dias. Mas a notícia é muito boa !
A tão esperada super atualização do Helix, nomeada como Helix 2.0, enfim está disponível. Está desde 15 de setembro, na verdade.
Junto com o live CD, deram uma repaginada completa no site. Outra grande mudança é que o Helix não é mais baseado no Knoppix. A nova versão está baseada no Ubuntu. Além disso, fizeram a retirada do PyFlag, que cá entre nós não funcionava direito no Helix mesmo.
A lista completa dos updates está aqui.
Não perca tempo, clique aqui e baixe o ISO do Live CD.
Alguém gostaria de comentar algo sobre a nova versão ?
Até o próximo post !
A tão esperada super atualização do Helix, nomeada como Helix 2.0, enfim está disponível. Está desde 15 de setembro, na verdade.
Junto com o live CD, deram uma repaginada completa no site. Outra grande mudança é que o Helix não é mais baseado no Knoppix. A nova versão está baseada no Ubuntu. Além disso, fizeram a retirada do PyFlag, que cá entre nós não funcionava direito no Helix mesmo.
A lista completa dos updates está aqui.
Não perca tempo, clique aqui e baixe o ISO do Live CD.
Alguém gostaria de comentar algo sobre a nova versão ?
Até o próximo post !
sábado, 20 de setembro de 2008
Yes, nós temos F-Response !
Acabei de ler uma excelente nota (e um grande avanço para nós) no site da F-Response.
Para quem não conhece ainda, F-Response é a badalação do momento no que se refere a software para Forense Computacional. Esqueça a idéia de uma mega ferramenta que faz tudo, porque o F-Response não é por aí. O executável do produto não deve passar de 200 Kb, para você ter uma idéia.
A grande sacada desse produto foi agregar, via rede, os discos de uma outra máquina. Com meia dúzia de clicks você consegue acessar, em modo somente-escrita, os discos remotos como se fossem discos locais. E não é só isso (isso parece aqueles anúncios de produtos que vendem na TV) ! Ele não depende de nenhuma aplicação forense em especial, pois monta os discos remotos fisicamente. Com isso, podemos usar desde EnCase, FTK, ProDiscover, até os utilitários e ferramentas disponíveis em opensource, como se os discos estivessem locais.
Pode esperar que vem uma revolução muito boa aí na forma de fazer Forense Computacional. Já não era hora. Aqui no Brasil ainda não parecemos sentir isso, porque estamos a bem da verdade engatinhando nesse terreno, mas lá fora tenho lido sobre algumas preocupações com o rumo da tecnologia versus metodologia e isso está tirando o sono de alguns. Nesse caso, o F-Response veio para ajudar, e muito ...
A boa notícia ?
Eu conheci o produto, entrei em contato com o criador dele e conversamos sobre a disponibilização desse produto no Brasil. Coloquei em contato com o Matthew um dos meus amigos aqui do Brasil, da competentíssima TI Safe, e a conversa deu Samba ! Agora temos um representante no Brasil desse produto, o que facilita muita coisa na compra e no suporte.
Dê uma olhada no site, e veja na área de representantes a bandeira verde e amarela ;)
Alguém já conhecia o produto ? Comentários ?
Até o próximo post !
Para quem não conhece ainda, F-Response é a badalação do momento no que se refere a software para Forense Computacional. Esqueça a idéia de uma mega ferramenta que faz tudo, porque o F-Response não é por aí. O executável do produto não deve passar de 200 Kb, para você ter uma idéia.
A grande sacada desse produto foi agregar, via rede, os discos de uma outra máquina. Com meia dúzia de clicks você consegue acessar, em modo somente-escrita, os discos remotos como se fossem discos locais. E não é só isso (isso parece aqueles anúncios de produtos que vendem na TV) ! Ele não depende de nenhuma aplicação forense em especial, pois monta os discos remotos fisicamente. Com isso, podemos usar desde EnCase, FTK, ProDiscover, até os utilitários e ferramentas disponíveis em opensource, como se os discos estivessem locais.
Pode esperar que vem uma revolução muito boa aí na forma de fazer Forense Computacional. Já não era hora. Aqui no Brasil ainda não parecemos sentir isso, porque estamos a bem da verdade engatinhando nesse terreno, mas lá fora tenho lido sobre algumas preocupações com o rumo da tecnologia versus metodologia e isso está tirando o sono de alguns. Nesse caso, o F-Response veio para ajudar, e muito ...
A boa notícia ?
Eu conheci o produto, entrei em contato com o criador dele e conversamos sobre a disponibilização desse produto no Brasil. Coloquei em contato com o Matthew um dos meus amigos aqui do Brasil, da competentíssima TI Safe, e a conversa deu Samba ! Agora temos um representante no Brasil desse produto, o que facilita muita coisa na compra e no suporte.
Dê uma olhada no site, e veja na área de representantes a bandeira verde e amarela ;)
Alguém já conhecia o produto ? Comentários ?
Até o próximo post !
quinta-feira, 11 de setembro de 2008
Chororô
Nunca fui de ficar choramingando em épocas difíceis. Mas a coisa está realmente feia para mim, em relação a tempo. Como já disse aqui, estou preparando um curso sobre Forense Computacional, e o material está consumindo 100% da minha CPU.
Bom, como não adianta ficar se lamentando, que isso não cria tempo extra, decidi colocar pelo menos um mini-post.
O assunto é dos bons: Anti-Forense. Eu o acho intrigante, pois enquanto há pessoas trabalhando para melhorar as técnicas, alguns estão procurando os nossos erros ... No problem, já dizem os mais velhos que não crescemos sem um antagonismo para nos forçar a melhorar. Então que venham esses meliantes !
O artigo que vou falar é muito interessante. Ele não tem o interesse de simplesmente divulgar falhas nos métodos ou mostrar como os Investigadores Digitais podem ser "facilmente" enganados. Foi um estudo sério, realizado por um investigador da equipe do CERT, que busca dentre várias ferramentas tidas como "ferramentas para manter a privacidade", as suas características e como elas são usadas para eliminar evidências.
A parte boa é ver que muitas dessas ferramentas, de acordo com o artigo, apresentam falhas naquilo que prometem. Algumas são bugs mesmo, e outras são falhas de conceito, pois removem dados em um local e esquecem de remover outros.
O artigo vale a pena, principalmente para se buscar por ferramentas desse tipo nas imagens e, se encontrando alguma, intensificar buscas de artefatos. Ele vai ajudar, servindo de referência, nesses casos. Outro ponto importante é que, na medida em que se acha um software desse tipo na máquina, cai o véu de inocência do nosso suspeito ... Pelo menos no sentido de nós, peritos, ficarmos mais atentos aos artefatos.
Baixe o artigo aqui.
Comentários ?
Até o próximo post !
Bom, como não adianta ficar se lamentando, que isso não cria tempo extra, decidi colocar pelo menos um mini-post.
O assunto é dos bons: Anti-Forense. Eu o acho intrigante, pois enquanto há pessoas trabalhando para melhorar as técnicas, alguns estão procurando os nossos erros ... No problem, já dizem os mais velhos que não crescemos sem um antagonismo para nos forçar a melhorar. Então que venham esses meliantes !
O artigo que vou falar é muito interessante. Ele não tem o interesse de simplesmente divulgar falhas nos métodos ou mostrar como os Investigadores Digitais podem ser "facilmente" enganados. Foi um estudo sério, realizado por um investigador da equipe do CERT, que busca dentre várias ferramentas tidas como "ferramentas para manter a privacidade", as suas características e como elas são usadas para eliminar evidências.
A parte boa é ver que muitas dessas ferramentas, de acordo com o artigo, apresentam falhas naquilo que prometem. Algumas são bugs mesmo, e outras são falhas de conceito, pois removem dados em um local e esquecem de remover outros.
O artigo vale a pena, principalmente para se buscar por ferramentas desse tipo nas imagens e, se encontrando alguma, intensificar buscas de artefatos. Ele vai ajudar, servindo de referência, nesses casos. Outro ponto importante é que, na medida em que se acha um software desse tipo na máquina, cai o véu de inocência do nosso suspeito ... Pelo menos no sentido de nós, peritos, ficarmos mais atentos aos artefatos.
Baixe o artigo aqui.
Comentários ?
Até o próximo post !
quinta-feira, 7 de agosto de 2008
Cuidado com o novo AccessData FTK
Li um artigo muito interessante hoje sobre o novo FTK, da AccessData. Este software é bem conceituado no mercado, e concorrente do EnCase, da Guidance.
Acontece que a nova versão do FTK traz, dentre algumas melhorias, uma que pode ser considerada um tanto perigosa. É possível acompanhar detalhes dos casos via web, pelo browser. Ou seja, você pode publicar seu servidor de casos e acessá-lo remotamente, passeando pelas evidências e detalhes já cadastrados para o caso. É aí que mora o problema ...
Como o HogFly bem notou e escreveu em seu blog, se você estiver trabalhando em um caso de Pedofilia, e acontecer de acompanhar as fotos-evidências remotamente, invariavelmente o seu Internet Explorer vai fazer o cache do que você está vendo. Pode ser que isso comprometa o investigador, ou até mesmo o dono da máquina, pois o cache vai guardar e, para todos os fins, atestar que alguém está acessando conteúdo de pedofilia naquela máquina. É possível que, além do cache, outros artefatos existam, tais como um cache de thumbs.
Preocupante, não ?
HogFly também aponta outras coisas, como a possibilidade de ter esse servidor explorado. Concordo com ele. Servidor de casos ou um servidor de Forense Computacional não é para ficar pendurado na internet.
O que vcs acham ? Algum usuário do FTK ? Participem !
Até o próximo post !
Acontece que a nova versão do FTK traz, dentre algumas melhorias, uma que pode ser considerada um tanto perigosa. É possível acompanhar detalhes dos casos via web, pelo browser. Ou seja, você pode publicar seu servidor de casos e acessá-lo remotamente, passeando pelas evidências e detalhes já cadastrados para o caso. É aí que mora o problema ...
Como o HogFly bem notou e escreveu em seu blog, se você estiver trabalhando em um caso de Pedofilia, e acontecer de acompanhar as fotos-evidências remotamente, invariavelmente o seu Internet Explorer vai fazer o cache do que você está vendo. Pode ser que isso comprometa o investigador, ou até mesmo o dono da máquina, pois o cache vai guardar e, para todos os fins, atestar que alguém está acessando conteúdo de pedofilia naquela máquina. É possível que, além do cache, outros artefatos existam, tais como um cache de thumbs.
Preocupante, não ?
HogFly também aponta outras coisas, como a possibilidade de ter esse servidor explorado. Concordo com ele. Servidor de casos ou um servidor de Forense Computacional não é para ficar pendurado na internet.
O que vcs acham ? Algum usuário do FTK ? Participem !
Até o próximo post !
quinta-feira, 31 de julho de 2008
Palestra no Rio de Janeiro
Pessoal,
Estarei ministrando uma palestra sobre Forense Computacional no Rio de Janeiro. Ela vai ser um warm-up para o curso que estamos criando, e está marcada para o dia 4 de agosto, 18h30.
A palestra não tem custos, mas tem número limitado de vagas. Quem estiver interessado: http://www.infnet.com.br/, clique no link do ciclo de palestras gratuitas.
Encontro vocês por lá.
Até o próximo post !
Estarei ministrando uma palestra sobre Forense Computacional no Rio de Janeiro. Ela vai ser um warm-up para o curso que estamos criando, e está marcada para o dia 4 de agosto, 18h30.
A palestra não tem custos, mas tem número limitado de vagas. Quem estiver interessado: http://www.infnet.com.br/, clique no link do ciclo de palestras gratuitas.
Encontro vocês por lá.
Até o próximo post !
sábado, 19 de julho de 2008
Cena do crime
Estávamos conversando há poucos dias na lista apcf, onde os membros são certificados forenses pela Axur, sobre imagem forense, cadeia de custódia e abordagem da cena do crime. Esse último tópico gera alguma polêmica, tanto pela falta de procedimento formal quanto pela aplicação dos conceitos que já existem, mas em uma situação onde não há crime, há apenas uma investigação. Segue o post do Fábio Ramos e o meu logo depois:
Fábio Ramos
Qualquer software que faça copia bit-a-bit gera uma imagem que tem validade legal. Os princípios que voce deve observar são:
1-) Voce não pode escrever nada no HD source (objeto que está sendo copiado)
2-) O HD que sera usado para análise (a cópia) tem que ter o HASH da sua imagem batendo com o HASH da imagem do source HD
O DD do linux, por exemplo, faz copia bit-a-bit. No mais deixo para o Tony explicar, porque ele é expert nesse assunto.
Geralmente o procedimento consiste no seguinte:
1-) Voce chega na "cena do crime" e com testemunhas, faz a aproximação para que seja gerada uma imagem das memórias que serão investigadas;
2-) Voce retira o HD e coloca em um case, ou em um aparelho que vai fazer a cópia;
3-) Neste momento pode ser importante usar um bloqueador de escrita para garantir que durante o processo de cópia, a memória que esta sendo investigada não recebera nenhum tipo de acesso que possa alterar um bit sequer;
4-) Voce lacra o HD original (que foi copiado). Esse HD deve ficar em custódia de alguém que possa garantir sua preservação. Pode ser um cartório, por exemplo. Isso vai depender também do seu papel no processo, se voce for perito contratado por uma empresa, vai ter mais liberdade, se for perito nomeado, vai ter que seguir todo o ritual, se for perito assistente, vai ter que olhar (e muitas vezes corrigir o perito nomeado :-))
5-) A partir de agora voce só analisa o HD copiado. Recomendo fazer cópias do HD copiado para garantir que caso você comprometa a cópia, nao vai precisar abrir o envelope lacrado do HD original para tirar outra cópia.
Tony Rodrigues:
Uma coisa interessante para se dizer com relação ao porquê de haver essa coisa toda, da liturgia.
A Computação Forense, ou Forense Computacional, é bastante nova, principalmente comparando-se com outras disciplinas Forenses, como a Balística e a Medicina Legal.
Os procedimentos que o Fábio narrou fazem parte da liturgia forense americana, e é aceita em praticamente todo o resto do mundo, como melhores práticas nessa área.
Faz muito sentido ... Você, como policial, mete o pé na porta, grita "Mãos para o alto - POSITIVO OPERANTE (como o casseta&planeta diz :D )" prá todo mundo (lá nos States eles mandam aquele "freeeeze !"), e apreende tudo que encontra pela frente, montando a cadeia de custódia.
No lab, a primeira coisa que o Perito Criminal faz é abrir o lacre, fazer a cópia, relacrar e juntar esse registro na cadeia de custódia. E por aí vai. No processo todo, além dos próprios policiais que irão testemunhar em como a polícia apreendeu e lacrou os computadores, temos vários logs que dão conta de responder a famosa pergunta - "COMO POSSO SABER SE NÃO ESCREVERAM ISSO QUE ME INCRIMINA DEPOIS DE TUDO TER SIDO LEVADO PELA POLÍCIA ??"
Faz sentido, né ? Ou seja, no fim das contas, a liturgia (processo) protege a ação de todos e coopera para a manutenção da integridade das provas eletrônicas.
O grande problema é que no Brasil não há um procedimento formalizado para o que está escrito acima. Além disso, os casos que não são crimes são um capítulo tenebroso, porque é sempre possível levantar suspeitas de que as evidências foram "plantadas". O mais próximo que tenho visto de resolverem isso é:
Empresa X tem uma suspeita qualquer, digamos, um vazamento de informações -> contrata o Investigador Digital John Doe-> Furtivamente, John Doe acessa a máquina e captura os dados que precisa, para analisar. Pode ser no disco ou na rede, através de logs, sniffers, etc -> Na análise, ele localiza evidências que comprovam as suspeitas -> John Doe emite relatório da investigação -> Empresa X demite o suspeito por justa causa -> No mesmo momento em que ele está sendo demitido, a máquina é desligada na presença do tabelião ou seu representante, que vai fazer a Ata Notarial -> O processo segue como descrito acima pelo Fábio, com a aquisição da imagem forense e início da cadeia de custódia.
O mais provável: O ex-funcionário demitido entra na justiça pedindo reversão da justa causa -> O relatório do Investigador passa por uma revisão e vira um Parecer Técnico, que é juntado aos autos do processo trabalhista. O Investigador Digital John Doe passa a atuar como Assistente Técnico.
Durante o julgamento, se houver contraditório (o ex-funcionário reclamar das provas apresentadas), o Juiz vai nomear um Perito para o caso -> Perito vai analisar o lacre, a Ata Notarial, e também vai fazer uma imagem forense -> Tempos depois, o Perito nomeado pelo Juiz emite o Laudo. O Juiz lê o Laudo e decide.
Com o processo acima fica difícil obter base para alegar que mexeram no HD e plantaram as evidências e artefatos. O processo sempre vai apontar testemunhas que garantirão a integridade das evidências. Além disso, dificilmente o Perito e o Investigador Digital acharam apenas um único artefato que comprova o ilícito. Tudo que foi localizado é avaliado e deve corroborar em conjunto para indicar a culpa do ex-funcionário.
O ruim disso é que, como o procedimento é praticamente feito duas vezes, tudo fica mais caro, e nem todo mundo quer fazer assim. Muitas empresas X, Y e Z tentam fazer mais rápido e vão para o risco, caso alguém alegue que a prova não é verdadeira ou não é íntegra.
Comentários ? Compartilhe suas experiências de como conduziu uma situação parecida.
Até o próximo post !
Fábio Ramos
Qualquer software que faça copia bit-a-bit gera uma imagem que tem validade legal. Os princípios que voce deve observar são:
1-) Voce não pode escrever nada no HD source (objeto que está sendo copiado)
2-) O HD que sera usado para análise (a cópia) tem que ter o HASH da sua imagem batendo com o HASH da imagem do source HD
O DD do linux, por exemplo, faz copia bit-a-bit. No mais deixo para o Tony explicar, porque ele é expert nesse assunto.
Geralmente o procedimento consiste no seguinte:
1-) Voce chega na "cena do crime" e com testemunhas, faz a aproximação para que seja gerada uma imagem das memórias que serão investigadas;
2-) Voce retira o HD e coloca em um case, ou em um aparelho que vai fazer a cópia;
3-) Neste momento pode ser importante usar um bloqueador de escrita para garantir que durante o processo de cópia, a memória que esta sendo investigada não recebera nenhum tipo de acesso que possa alterar um bit sequer;
4-) Voce lacra o HD original (que foi copiado). Esse HD deve ficar em custódia de alguém que possa garantir sua preservação. Pode ser um cartório, por exemplo. Isso vai depender também do seu papel no processo, se voce for perito contratado por uma empresa, vai ter mais liberdade, se for perito nomeado, vai ter que seguir todo o ritual, se for perito assistente, vai ter que olhar (e muitas vezes corrigir o perito nomeado :-))
5-) A partir de agora voce só analisa o HD copiado. Recomendo fazer cópias do HD copiado para garantir que caso você comprometa a cópia, nao vai precisar abrir o envelope lacrado do HD original para tirar outra cópia.
Tony Rodrigues:
Uma coisa interessante para se dizer com relação ao porquê de haver essa coisa toda, da liturgia.
A Computação Forense, ou Forense Computacional, é bastante nova, principalmente comparando-se com outras disciplinas Forenses, como a Balística e a Medicina Legal.
Os procedimentos que o Fábio narrou fazem parte da liturgia forense americana, e é aceita em praticamente todo o resto do mundo, como melhores práticas nessa área.
Faz muito sentido ... Você, como policial, mete o pé na porta, grita "Mãos para o alto - POSITIVO OPERANTE (como o casseta&planeta diz :D )" prá todo mundo (lá nos States eles mandam aquele "freeeeze !"), e apreende tudo que encontra pela frente, montando a cadeia de custódia.
No lab, a primeira coisa que o Perito Criminal faz é abrir o lacre, fazer a cópia, relacrar e juntar esse registro na cadeia de custódia. E por aí vai. No processo todo, além dos próprios policiais que irão testemunhar em como a polícia apreendeu e lacrou os computadores, temos vários logs que dão conta de responder a famosa pergunta - "COMO POSSO SABER SE NÃO ESCREVERAM ISSO QUE ME INCRIMINA DEPOIS DE TUDO TER SIDO LEVADO PELA POLÍCIA ??"
Faz sentido, né ? Ou seja, no fim das contas, a liturgia (processo) protege a ação de todos e coopera para a manutenção da integridade das provas eletrônicas.
O grande problema é que no Brasil não há um procedimento formalizado para o que está escrito acima. Além disso, os casos que não são crimes são um capítulo tenebroso, porque é sempre possível levantar suspeitas de que as evidências foram "plantadas". O mais próximo que tenho visto de resolverem isso é:
Empresa X tem uma suspeita qualquer, digamos, um vazamento de informações -> contrata o Investigador Digital John Doe-> Furtivamente, John Doe acessa a máquina e captura os dados que precisa, para analisar. Pode ser no disco ou na rede, através de logs, sniffers, etc -> Na análise, ele localiza evidências que comprovam as suspeitas -> John Doe emite relatório da investigação -> Empresa X demite o suspeito por justa causa -> No mesmo momento em que ele está sendo demitido, a máquina é desligada na presença do tabelião ou seu representante, que vai fazer a Ata Notarial -> O processo segue como descrito acima pelo Fábio, com a aquisição da imagem forense e início da cadeia de custódia.
O mais provável: O ex-funcionário demitido entra na justiça pedindo reversão da justa causa -> O relatório do Investigador passa por uma revisão e vira um Parecer Técnico, que é juntado aos autos do processo trabalhista. O Investigador Digital John Doe passa a atuar como Assistente Técnico.
Durante o julgamento, se houver contraditório (o ex-funcionário reclamar das provas apresentadas), o Juiz vai nomear um Perito para o caso -> Perito vai analisar o lacre, a Ata Notarial, e também vai fazer uma imagem forense -> Tempos depois, o Perito nomeado pelo Juiz emite o Laudo. O Juiz lê o Laudo e decide.
Com o processo acima fica difícil obter base para alegar que mexeram no HD e plantaram as evidências e artefatos. O processo sempre vai apontar testemunhas que garantirão a integridade das evidências. Além disso, dificilmente o Perito e o Investigador Digital acharam apenas um único artefato que comprova o ilícito. Tudo que foi localizado é avaliado e deve corroborar em conjunto para indicar a culpa do ex-funcionário.
O ruim disso é que, como o procedimento é praticamente feito duas vezes, tudo fica mais caro, e nem todo mundo quer fazer assim. Muitas empresas X, Y e Z tentam fazer mais rápido e vão para o risco, caso alguém alegue que a prova não é verdadeira ou não é íntegra.
Comentários ? Compartilhe suas experiências de como conduziu uma situação parecida.
Até o próximo post !
sexta-feira, 18 de julho de 2008
Nova versão do PTK disponível
Está disponibilizado desde ontem a mais nova versão do PTK.
Entre as melhorias, está a capacidade de busca por strings (palavras-chave) de maneira indexada ou "live", incluindo buscas em áreas não alocadas do disco e no slack space. A instalação foi melhorada e agora está ainda mais fácil de fazê-la.
Para baixar, clique aqui
Até o próximo post !
Entre as melhorias, está a capacidade de busca por strings (palavras-chave) de maneira indexada ou "live", incluindo buscas em áreas não alocadas do disco e no slack space. A instalação foi melhorada e agora está ainda mais fácil de fazê-la.
Para baixar, clique aqui
Até o próximo post !
sábado, 5 de julho de 2008
Resposta a Incidentes II
No nosso último post sobre esse assunto, comentamos aspectos gerais de Resposta a Incidentes e do trabalho dos First Responders, os verdadeiros brigadistas digitais.
O WFT automatiza a execução de um grupo de comandos e utilitários para capturar o maior número possível de informações voláteis de um computador envolvido em um incidente de segurança de informações. Ele carrega a lista de execução a partir de um arquivo de configurações, e armazena o resultado de cada um localmente ou remotamente, em um drive compartilhado.
A principal diferença do IRCR2 é que ele é um script DOS, ao invés de um arquivo compilado. Para alterar qualquer utilitário a ser executado, é preciso localizar a linha e alterar diretamente no código. É possível enviar o resultado da coleta (os dados) para uma máquina remota, via NetCat.
Vamos falar agora um pouco mais sobre as ferramentas disponíveis no Helix e realizar uma comparação entre as ferramentas.
WFT
O WFT automatiza a execução de um grupo de comandos e utilitários para capturar o maior número possível de informações voláteis de um computador envolvido em um incidente de segurança de informações. Ele carrega a lista de execução a partir de um arquivo de configurações, e armazena o resultado de cada um localmente ou remotamente, em um drive compartilhado.FSP
O FSP (Forensic Server Project) tem arquitetura cliente-servidor. Um executável-servidor (fspc) roda em no computador que receberá todos os resultados das informações capturadas. O executável-cliente, fruc, roda na estação comprometida e executa comandos e utilitários configurados em um arquivo .ini. É possível, embora não recomendável, executar o fspc e o fruc na mesma máquina.
IRCR2
A principal diferença do IRCR2 é que ele é um script DOS, ao invés de um arquivo compilado. Para alterar qualquer utilitário a ser executado, é preciso localizar a linha e alterar diretamente no código. É possível enviar o resultado da coleta (os dados) para uma máquina remota, via NetCat.
Comparando ...
Quais são as ferramentas e utilitários que cada um tem pré-configurado ?
| Utilitário | WFT | FSP | IRCR2 |
| Lista tarefas agendadas | at e schtasks | at | |
| Lista últimos comandos no DOS | doskey | doskey | |
| Lista configurações de TCP/IP | ipconfig | ipconfig | ipconfig |
| Informa a memória livre/ocupada | mem | mem | |
| Lista diversas informações de rede | net | net | |
| Lista informações de conexões TCP/IP | netstat | netstat | netstat |
| Lista a tabela de rotas | route | route | |
| Lista informações do SO | uname e hostname | uname | systeminfo |
| Lista informações do ARP | arp | arp | |
| Lista o Audit Policy | auditpol | auditpol | auditpol |
| Lista valores de chaves do registro | reg | reg | |
| Lista portas abertas e suas respectivas aplicações | fport e openports | fport e openports | fport |
| Informações sobre Null sessions | hunt | hunt | |
| Informações sobre o Netbios | nbtstat | nbtstat | |
| Exibe informações de login/logout | ntlast | ntlast | |
| Lista o conteúdo do Clipboard | pclip | pclip | pclip |
| Lista todos os processos e as DLLs que estão associadas | procinterrogate | procinterrogate | |
| Lista os processos correntes | ps, tlist, tasklist | tlist | ps |
| Exibe os arquivos abertos remotamente | psfile | psfile | |
| Lista informações sobre o sistema | psinfo | psinfo | psinfo |
| Lista informações detalhadas dos processos | pslist | pslist | pslist |
| Lista usuários logado na quina | psloggedon e netusers | psloggedon | psloggedon |
| Lista informações sobre os serviços | psservice | psservice | |
| Lista processos em execução | pulist | pulist | |
| Lista informações sobre os serviços que estão sendo executados | servicelist | servicelist | |
| Faz um dump do event log | dumpel e psloglist | psloglist | dumpel |
| Detecta se a placa de rede está em modo promiscuo | promiscdetect | promiscdetect | |
| Lista conteúdo do diretório | dir | ls | |
| Lista URLs recentemente visitadas | iehv | iehv | |
| Lista USB devices conectados | usbdview | ||
| Exporta History.dat do Mozilla | dork | ||
| Informa há quanto tempo a máquina está ligada | uptime | uptime | |
| Lista os processos com inicialização automática | autorunsc | autorunsc | |
| Lista strings nos arquivos | strings | find | |
| Lista MAC times | mac | ||
| Lista o usuário corrente | whoami | ||
| Lista todas as DLLs carregadas | listdlls | ||
| Lista as threads executando e o status | pstat | ||
| Lista os processos e seus arquivos abertos | handle | ||
| Lista informações dos serviços sendo executados | sc | ||
| Lista informações dos drivers instalados | drivers | ||
| Lista as interfaces IP | iplist | ||
| Lista a tabela de rotas IPX | ipxroute | ||
| Detecta se WinPCap está presente | ndis | ||
| Lista informações sobre o sistema NTFS | ntfsinfo | ||
| Localiza arquivos hidden | hfind | ||
| Localiza e lista Alternate Data Streams | streams e sfind | ||
| Lista informações do EFS | efsinfo | ||
| Lista o espaço disponível em um drive | freespace | ||
| Informações de Group Policies | gplist | ||
| Lista efeitos da Group Policy e usuários que logaram na máquina | gpresult | ||
| Faz dump do Registry | regdmp | ||
| Lista o conteúdo do Protect storage | pstoreview | ||
| Verifica a existência de um driver de modem | mdm | ||
| Busca por rootkits | rootkitrevealer |
Comentários e experiências ? Conte-nos qual a sua preferência, e porquê.
Até o próximo post !
Assinar:
Postagens (Atom)