Pessoal, o site da TISafe traz novos detalhes em relação ao nosso curso de Computação Forense. Veja no item CFPF - Curso de Formação de Peritos Forenses Computacionais.
A próxima turma começa em 13 de setembro, no Rio de Janeiro, com aulas no período noturno. O curso tem duração de 40h com teoria e muita, muita prática.
O conteúdo abrange Resposta a Incidentes na parte de captura e análise, e obviamente, Computação Forense em seus diversos aspectos. Neste ponto, o foco será na aquisição e na análise forense, com muitos exercícios práticos e estudos de caso. As práticas serão baseadas em software livre, principalmente em live CDs.
Para montar a ementa e o material, procurei aliar minha experiência como perito/investigador com minha experiência com ensino (já fui instrutor de cursos MOC, os cursos oficiais da Microsoft, já dei aula de banco de dados e, num passado distante, já montei um treinamento completo de Visual Basic, que na época ainda não era muito conhecido), e o resultado foi um material que está focado nas principais teorias e técnicas, tratando os assuntos com a profundidade na medida mais adequada à didática, e está recheado de exemplos e aplicações.
A TISafe, tradicional consultoria de Segurança de Informações do Rio de Janeiro com expertise diferenciado em criptografia e PKI, é minha parceira nesse treinamento. Ela também já oferece um treinamento de sucesso na área de formação de analistas de Segurança de Informações, o CFAS, do qual também sou instrutor, de forma que essa experiência será benéfica para o CFPF.
Estamos verificando a possibilidade de termos o treinamento em outros estados além do Rio de Janeiro, bem como turmas in-house. Se tiverem alguma dúvida, entrem em contato por email ou mesmo deixe um comentário aqui no blog.
Até o próximo post !
quinta-feira, 20 de agosto de 2009
terça-feira, 18 de agosto de 2009
Byte Investigator III - OLEmergeSearch
Acabei de atualizar o pacote de scripts Perl Byte Investigator com uma rotina que vasculha em uma imagem forense, separando todos os arquivos Office, e em seguida testa cada um deles procurando por multiplos streams, o que pode indicar tentativa de obfuscar informações.
A rotina OLEmergesearch.pl usa o sorter, do TSK, para localizar os arquivos Office, e usa também o script perl OLEmerge.pl, do próprio Byte Investigator, para detectar as streams em cada arquivo. A resposta informa o inode de cada arquivo e quantas streams tem. Os arquivos que acusarem mais de uma stream devem ser extraídos e verificados com mais detalhes.
A rotina pode ser encontrada aqui
Até o próximo post !
A rotina OLEmergesearch.pl usa o sorter, do TSK, para localizar os arquivos Office, e usa também o script perl OLEmerge.pl, do próprio Byte Investigator, para detectar as streams em cada arquivo. A resposta informa o inode de cada arquivo e quantas streams tem. Os arquivos que acusarem mais de uma stream devem ser extraídos e verificados com mais detalhes.
A rotina pode ser encontrada aqui
Até o próximo post !
sábado, 15 de agosto de 2009
Byte Investigator II - OLE Structured Storage
OLE Structured Storage é uma estrutura de arquivo bastante interessante. É baseada no conceito recursivo de diretório e arquivo. Um diretório pode conter vários arquivos e outros diretórios. Um arquivo (stream) é onde fica o conteúdo propriamente dito. É simples assim.
Várias aplicações escolheram esse formato para seus arquivos. Dentre elas, o Registry e os arquivos do Office (.DOC, .XLS e .PPT).
Especificamente sobre os arquivos do Office, essa característica dá margem a uma estratégia de obfuscação bastante interessante. Como um diretório pode conter mais de uma stream (ou arquivo) é possível juntar um arquivo dentro do outro, de forma que fique oculto. Por exemplo, podemos colocar uma planilha do Excel dentro de um documento Word. A visualização de conteúdo é determinada pela extensão do arquivo; Ou seja, se a extensão é a .xls, vemos a planilha ao dar um duplo clique no arquivo. Se a extensão for um .doc, o Word é carregado e o que seria o documento pode ser acessado.
Esse comportamento é muito útil em alguns casos maliciosos e se torna ainda mais interessante por quase não ser divulgado. Um funcionário pode usar esse estratagema para subtrair uma planilha confidencial, bastando para isso mesclá-la internamente com um .doc inofensivo (um currículo, por exemplo). Quer ver o currículo, coloque a extensão .doc; quer ver a planilha, troque a extensão para .xls e lá estará o ouro ... Um pedófilo mais preparado e informado pode colocar as várias fotos suspeitas em um .doc e, em seguida, camuflar esse conteúdo dentro de uma planilha de contas a pagar. Nos dois casos, captar o truque pode ser bastante complicado.
Pensando nisso, desenvolvi uma nova rotina para o Byte Investigator. Ela tem por objetivo listar as streams de documentos Office que existem dentro de um arquivo Office. O uso é muito simples, e como é baseada em Perl, ela não depende de nenhum outro arquivo ou API externo, funcionando bem em Windows (com o Perl, lógico) e em qualquer live CD que tenha o Perl instalado.
Digitando OLEmerge.pl , ela verifica e lista cada stream encontrada. É possível usar o parâmetro -e, que apenas indica se há uma ou mais streams disponibilizadas. Obviamente, sempre que houver mais de uma stream, o arquivo deve ser analisado com mais detalhes, procurando qual o conteúdo oculto.
Você pode baixar a rotina aqui.
Comentários ?
Até o próximo post !
Várias aplicações escolheram esse formato para seus arquivos. Dentre elas, o Registry e os arquivos do Office (.DOC, .XLS e .PPT).
Especificamente sobre os arquivos do Office, essa característica dá margem a uma estratégia de obfuscação bastante interessante. Como um diretório pode conter mais de uma stream (ou arquivo) é possível juntar um arquivo dentro do outro, de forma que fique oculto. Por exemplo, podemos colocar uma planilha do Excel dentro de um documento Word. A visualização de conteúdo é determinada pela extensão do arquivo; Ou seja, se a extensão é a .xls, vemos a planilha ao dar um duplo clique no arquivo. Se a extensão for um .doc, o Word é carregado e o que seria o documento pode ser acessado.
Esse comportamento é muito útil em alguns casos maliciosos e se torna ainda mais interessante por quase não ser divulgado. Um funcionário pode usar esse estratagema para subtrair uma planilha confidencial, bastando para isso mesclá-la internamente com um .doc inofensivo (um currículo, por exemplo). Quer ver o currículo, coloque a extensão .doc; quer ver a planilha, troque a extensão para .xls e lá estará o ouro ... Um pedófilo mais preparado e informado pode colocar as várias fotos suspeitas em um .doc e, em seguida, camuflar esse conteúdo dentro de uma planilha de contas a pagar. Nos dois casos, captar o truque pode ser bastante complicado.
Pensando nisso, desenvolvi uma nova rotina para o Byte Investigator. Ela tem por objetivo listar as streams de documentos Office que existem dentro de um arquivo Office. O uso é muito simples, e como é baseada em Perl, ela não depende de nenhum outro arquivo ou API externo, funcionando bem em Windows (com o Perl, lógico) e em qualquer live CD que tenha o Perl instalado.
Digitando OLEmerge.pl
Você pode baixar a rotina aqui.
Comentários ?
Até o próximo post !
sexta-feira, 14 de agosto de 2009
BackTrack 4
Hoje é, segundo um email postado na lista PericiaForense, o pré-lançamento da versão 4 do BackTrack, uma distro voltada para Pen Test e que também possui alguma coisa para Forense Computacional. Segue o email enviado:
BackTrack é atualmente a melhor distribuição de Linux com foco em testes de penetração em sistemas (Pentesting). Sem nenhuma instalação (LiveCD), a plataforma de análise é iniciada directamente do CD-ROM ou Pen Drive sendo completamente acessível em minutos. BackTrack é uma distribuição Linux live que também pode ser instalada se preferir.
Back Track é uma junção de duas antigas distribuições relacionadas com segurança, Whax e Auditor Security Collection, reunindo mais de 300 ferramentas para análise e testes de vulnerabilidades Esta nova edição BackTrack 4, segundo o site oficial já alcançou mais de 100.000 downloads.
Segundo o anúncio, o BackTrack 4 traz grandes avanços conceituais e tem algumas novas e excelentes características. A mais importante destas mudanças é a expansão do Pentesting LiveCD para uma plena “Distribuição”.
Agora, baseado em Debian (núcleo e pacotes) e utilizando os repositórios de softwares do Ubuntu, BackTrack 4 pode ser adaptado em caso de atualização. Quando sincronizado com os repositórios oficiais do BackTrack, o sistema irá receber regularmente actualizações de segurança e novas ferramentas.
Algumas das novas características incluem:
- - Kernel 2.6.29.4 com melhor suporte de hardware.
- - Suporte nativo para cartões Pico E12 e E16 está agora totalmente funcional, fazendo do BackTrack a primeira distro Pentesting em utilizar plenamente os recursos destas minúsculas máquinas.
- - Suporte para Boot PXE.
- - SAINT EXPLOIT – gentilmente fornecido pela corporação SAINT com um número limitado de IPs livre.
- - Maltego 2.0.2
- - Os últimos patches mac80211 wireless injection pacthes foram aplicados, juntamente com vários patches personalizados para o rtl8187 injection. O suporte à wireless injection nunca foi tão amplo e funcional.
- - Unicornscan – Totalmente funcional com suporte ao postgress logging e web front end.
- - Suporte RFID
- - Suporte Pyrit CUDA
- - Novas ferramentas e atualizações
A lista de software contido nesta distribuição, tem aplicações com tudo de bom e do melhor, Wireless, Passwords, Spoofing, Tunneling, Enumeration, Bruteforce, Sniffers, VOIP, Bluetooth, Fuzzers, Forensics, Cisco, Debuggers, Database, RFID, Penetration, GPU e outras mais de 300
ferramentas.
Alguém já usou a ferramenta e gostaria de comentar ?
Até o próximo post !
BackTrack é atualmente a melhor distribuição de Linux com foco em testes de penetração em sistemas (Pentesting). Sem nenhuma instalação (LiveCD), a plataforma de análise é iniciada directamente do CD-ROM ou Pen Drive sendo completamente acessível em minutos. BackTrack é uma distribuição Linux live que também pode ser instalada se preferir.
Back Track é uma junção de duas antigas distribuições relacionadas com segurança, Whax e Auditor Security Collection, reunindo mais de 300 ferramentas para análise e testes de vulnerabilidades Esta nova edição BackTrack 4, segundo o site oficial já alcançou mais de 100.000 downloads.
Segundo o anúncio, o BackTrack 4 traz grandes avanços conceituais e tem algumas novas e excelentes características. A mais importante destas mudanças é a expansão do Pentesting LiveCD para uma plena “Distribuição”.
Agora, baseado em Debian (núcleo e pacotes) e utilizando os repositórios de softwares do Ubuntu, BackTrack 4 pode ser adaptado em caso de atualização. Quando sincronizado com os repositórios oficiais do BackTrack, o sistema irá receber regularmente actualizações de segurança e novas ferramentas.
Algumas das novas características incluem:
- - Kernel 2.6.29.4 com melhor suporte de hardware.
- - Suporte nativo para cartões Pico E12 e E16 está agora totalmente funcional, fazendo do BackTrack a primeira distro Pentesting em utilizar plenamente os recursos destas minúsculas máquinas.
- - Suporte para Boot PXE.
- - SAINT EXPLOIT – gentilmente fornecido pela corporação SAINT com um número limitado de IPs livre.
- - Maltego 2.0.2
- - Os últimos patches mac80211 wireless injection pacthes foram aplicados, juntamente com vários patches personalizados para o rtl8187 injection. O suporte à wireless injection nunca foi tão amplo e funcional.
- - Unicornscan – Totalmente funcional com suporte ao postgress logging e web front end.
- - Suporte RFID
- - Suporte Pyrit CUDA
- - Novas ferramentas e atualizações
A lista de software contido nesta distribuição, tem aplicações com tudo de bom e do melhor, Wireless, Passwords, Spoofing, Tunneling, Enumeration, Bruteforce, Sniffers, VOIP, Bluetooth, Fuzzers, Forensics, Cisco, Debuggers, Database, RFID, Penetration, GPU e outras mais de 300
ferramentas.
Alguém já usou a ferramenta e gostaria de comentar ?
Até o próximo post !
terça-feira, 4 de agosto de 2009
SSDDFJ
Há os que amam siglas. Não é o meu caso. Entretanto, ao que parece a sigla acima é mais usual para o espaço do que o nome completo: Small Scale Digital Device Forensics Journal, ou seja, Jornal Forense de Dispositivos Digitais de Pequena Escala. É um periódico bastante interessante, voltado para Forense Digital em aparelhos celulares, GPS, SSD, Iphones e afins. É uma parte que eu particularmente não aprecio muito, mas há uma extensa gama de conhecimento e aplicação delas.
Pois bem, o SSDDFJ Vol 3 já está disponível e traz alguns artigos:
3:1.1> Hashing Techniques for Mobile Device Forensics
3:1.2> Expanding the Potential for GPS Evidence Acquisition
3:1.3> The Fraternal Clone Method for CDMA Cell Phones
3:1.4> Provider Side Cell Phone Forensics
Os artigos podem ser lidos aqui.
Até o próximo post !
Pois bem, o SSDDFJ Vol 3 já está disponível e traz alguns artigos:
3:1.1> Hashing Techniques for Mobile Device Forensics
3:1.2> Expanding the Potential for GPS Evidence Acquisition
3:1.3> The Fraternal Clone Method for CDMA Cell Phones
3:1.4> Provider Side Cell Phone Forensics
Os artigos podem ser lidos aqui.
Até o próximo post !
Assinar:
Postagens (Atom)