quarta-feira, 7 de janeiro de 2009

Resposta a Incidentes para gente grande II - F-Response

Vamos a um passo-a-passo de como usar o F-Response na Resposta a Incidentes.

Pode-se imaginar uma penca de motivos e aplicações para o F-Response. Alguns:

- O acesso à máquina suspeita pela rede já está estabelecido e é o único disponível;
- O acesso à máquina suspeita pela rede é possível, e para ficar melhor ainda, sua estação forense e a máquina suspeita possuem interface gigabit disponível.
- Várias máquinas são candidatas a passarem por uma aquisição do HD, mas como tempo é escasso, você vai usar o F-Response para recuperar algumas informações de forma segura para uma triagem;
- A máquina suspeita é daquelas que não se consegue desmontar facilmente para acessar o HD;
- A máquina suspeita é um servidor mega-super-ultra equipado em discos, e impossível de fazer um acquire;
- Você ouviu algo parecido com um "Ficou louco ?" logo após dizer que precisaria desligar aquele servidor suspeito de ter sido invadido.

Não importa o motivo, você está munido do F-Response versão Field Kit (a mais barata) e está pronto para usá-lo. O passo zero seria verificar o seguinte:

- A máquina suspeita e a estação forense (ou qualquer outra máquina usada para a análise) já deverão estar em rede;
- Qualquer firewall deverá ser desativado. Não queremos nada atrapalhando a comunicação entre as duas máquinas;
- A estação forense possui o iSCSI Initiator, ou porque já veio no SO (como no caso do Windows Vista) ou porque você já instalou previamente (como no caso do WinXP). Nota: É possível ativar a comunicação com o F-Response a partir do Linux, mas ainda não testei/usei dessa forma. Fica para sugestão de artigo ...
- Você deverá ter um pendrive com o utilitário do F-Response. No caso da versão Field Kit, ele é o f-response-fk.exe, e tem menos de 100kb;
- A máquina suspeita deverá ter pelo menos duas portas USB disponíveis. Uma para o dongle do F-Response e a outra para o seu pendrive com o utilitário;
- Saiba de antemão o IP das duas máquinas;

Depois de tudo isso, vamos dar início aos trabalhos:

1) Na máquina suspeita, conecte o dongle do F-Response e em seguida conecte o pendrive;
2) Execute o utilitário f-response-fk.exe;
3) Tenha certeza de colocar, na caixa "Host IP Address", o IP da máquina suspeita. Acima, o utilitário vai exibir o hostname dela;
4) Indique uma porta TCP para conexão. Em geral, fica 3260 mesmo;
5) Coloque um username de 8 caracteres e uma password de 14. Não dá para ficar sem preencher esses dados;
6) Clique em start. A máquina suspeita já está pronta para ser acessada.

Agora, vá para a estação forense:

1) Acione o iSCSI Initiator;
2) Na primeira aba (General), clique em Change e coloque no Initiator Node Name o mesmo nome de usuário que você colocou lá no utilitário do f-response;
3) Na segunda aba (Discovery), clique em Add. Vamos inserir os dados da máquina onde vamos nos conectar;
4) Entre com o IP da máquina suspeita e o número da porta indicado lá no utilitário do f-response. Clique em Advanced.
5) Marque a opção Chap Logon Information, digite o nome de usuário e a senha informados lá no utilitário f-response. Clique em Ok e Ok novamente. Você verá o endereço IP da máquina suspeita listado na Target Portals;
6) Se tudo correu bem, na terceira aba (Targets) você vai ver listados os discos físicos disponíveis para serem acessados. Eles estarão com estado Inactive;
7) Escolha qual disco deseja acessar, clique nele e em seguida, clique em Log On ...
8) Clique em Advanced. Na tela que abrirá, marque a opção Chap Logon Information, digite o nome de usuário e a senha informados lá no utilitário f-response. Dê Ok e Ok novamente.
9) O status do disco selecionado já deverá ter mudado para active, se tudo correu bem. A conexão read-only está estabelecida.

Após o passo 9, você já verá o disco no Explorer listado como disco local. Qualquer tentativa de modificação de dados nesse disco não terá efeito. Você está livre para usar qualquer ferramenta de coleta e/ou análise que esteja acostumado. Como o disco foi montado fisicamente, convém destacar dois pontos interessantes:

- Você terá acesso a diretórios que normalmente não são acessíveis a usuários, como por exemplo, o diretório do System Restore do WinXP ou os arquivos do Registry;
- Se você conectou um disco que tem mais de uma partição, todas elas estarão disponíveis.

Ao terminar, basta acessar a aba Targets do iSCSI Initiator, clicar em Details, marcar o item e clicar em Logoff. Ao retornar para a aba Targets, o disco selecionado voltará para o estado Inactive, e você poderá clicar em Stop no utilitário f-response da máquina suspeita.

Alguém gostaria de compartilhar as experiências com esse software ?

Até o próximo post !