sábado, 30 de janeiro de 2010

Fuzzy Hashset

Notícia curta mas muito boa.

Já conversamos algumas vezes aqui no blog sobre fuzzy hash. Uma das capacidades dessa implementação hash é a possibilidade de indicar conteúdos "parecidos", ou seja, podemos indicar quanto um arquivo é próximo de outro usando-os em um algoritmo de hash fuzzy. O utilitário que calcula esse hash é o já conhecido ssdeep, que está na versão 2.3, novinha em folha.

Apesar desse software ter grande utilidade para a Forense Computacional, havia algo que há muito sentíamos falta: Um conjunto de hashs de referencia, usando o algoritmo fuzzy. Pois bem, depois de muitos pedidos da comunidade e pesquisadores, o NIST ouviu as nossas preces e lançou uma variação da já conhecida biblioteca/hashset NSRL contendo milhares de hashs pré-calculados usando o ssdeep. Eu ainda recebi a notícia em primeira mão pelo Doug White, um dos especialistas responsáveis pela NSRL.

Entre outras coisas, esse novo hashset vai permitir a aplicação de comparações e filtragem por hashset, mas usando uma técnica ligeiramente diferente da que já existe, para fugir dos casos onde houver anti-forense sendo aplicada.

Planejo um artigo mais detalhado sobre o uso dessa biblioteca/hashset em breve.

Baixe aqui o conteúdo.

Comentários ??

Até o próximo post !

quarta-feira, 20 de janeiro de 2010

O XML nosso de cada dia

A tecnologia volta e meia aparece com modismos. O da vez pode ser considerado o Cloud Computing. Já perdi a conta de quantas vezes ouvi falar em palestras desse tema. Eu procurei, inclusive, ir à uma delas, e foi muito recompensadora, ministrada pelo guru do assunto, Cézar Taurion, da IBM.

O fato é que o modismo de hoje pode representar o nada de amanhã. Ou não ...
Algo que era um grande modismo há alguns anos hoje está plenamente estabelecido: XML. Havia um tempo que tínhamos XML no café da manhã, almoço e jantar. Colocava-se XML em tudo que se fazia, e houve de fato grandes evoluções nos sistemas de informação. Porém, como tudo na vida tende ou a amadurecer ou a desaparecer, o XML seguiu o caminho do bem e hoje quero falar de mais uma grande sacada dos pesquisadores: XML em Forense Computacional.

O autor dessa façanha já é um velho conhecido nosso. Simson Gafinkel já foi citado nesse blog várias vezes, principalmente pelo seu trabalho no poderoso formato AFF. Pois bem, não satisfeito com o bom trabalho de pesquisa que ele vem fazendo pela comunidade de Forense Computacional, Simson está lançando uma nova proposta de trabalho baseada em XML que pode trazer inúmeros benefícios.

A idéia é até muito simples: Ao invés de se constantemente operar com o Sleuth Kit sobre uma imagem, fazendo o parsing de seus outputs, ele propõe usar um programa que "passeia" pela imagem e a mapeia totalmente em um XML. A partir daí, ao invés de se gastar tempo em cada execução de utilitários do Sleuth Kit, você simplesmente percorre o XML gerado, buscando a informação desejada.

Entre vários pontos positivos da nova técnica, Simson destaca:

- Os outputs do TSK variam bastante, principalmente com a versão. Usando o XML, o seu programa fica menos vulnerável a essas mudanças;

- O XML facilita a transferencia de informações on-line, e por conta disso pode-se rodar o programa de mapeamento sobre uma imagem (ou mesmo live) remotamente, enviando o XML resultante pela internet. É a Forense Computacional Remota batendo à sua porta !

- É possível realizar redaction de uma imagem usando esse XML como base. Redaction é a técnica de eliminar informações sensíveis ou indesejáveis em um documento, deixando o restante dele disponível. Lembra daquelas famosas tarjas pretas em documentos oficiais liberados para o público ? Aquilo é redaction. Quando precisamos montar uma imagem para testes ou para fornecer a alunos, não é raro termos que apagar algumas informações importantes que não podem ir junto com a imagem. Para esse fim, há um programa/utilitário desenvolvido pela equipe do Simson que faz o redaction baseado em regras que lhe são passadas. Por exemplo, uma regra poderia ser "sobreescreva com 00h todos os setores onde for encontrado números na forma de cartão de crédito ou emails do domínio xxx.com.br";

- Criar um programa de análise a partir do XML, segundo Simson, é bem mais rápido do que criar chamadas aos utilitários do TSK e fazer o parse do output. Há algumas bibliotecas em python já prontinhas para uso;

- Há uma linha de pesquisa que vai produzir um programa de carving que se beneficia de análises realizadas a partir do XML da imagem forense;

- Há a possibilidade de criar pluging, que executarão durante a varredura que é feita na imagem, montando o XML. Um bom exemplo desses plugins são rotinas (sempre python) para extrair metadados específicos dos arquivos da imagem;

Veja um exemplo de nó XML para um arquivo da imagem forense:




O programa e a library que executam a varredura na imagem é o fiwalk, e pode ser encontrado no site da AFFLIB. Infelizmente, só tem versão para Linux até agora.

Alguém já usa o fiwalk e outros módulos ? Comente !

Até o próximo post !

sábado, 16 de janeiro de 2010

TSK Novo

Brian Carrier, o criador do SleuthKit, acabou de anunciar a mais nova versão do produto: 3.1.0.
Acompanhado de seu inseparável browser Autopsy 2.22, o open source mais famoso de Forense Computacional chega com algumas novidades":

• Suporte ao HFS+ (sistema de arquivos comum nos MAC)
• Suporte a mídias com tamanho de setor diferente de 512 bytes
• Informações sobre o SID de NTFS disponibilizadas (isso já era esperado há algum tempo)
• O conjunto de executáveis para Windows agora também vem com o mactimes
• Partições GPT e DOS são melhor detectadas
• Mais formatos da AFFLIB e suporte melhorado aos arquivos criptografados
• Sigfind consegue processar imagens fora do formato raw
• Suporte a blocos indiretos
• Muitos bugs corrigidos.

Essa deverá ser a versão que virá nos próximos Live CDs. Para quem precisa de alguma dessas novas funcionalidades e não pode esperar novas versões do seu live cd predileto, há algumas opções:

- Instalar o live cd e usar os comandos de atualização apt-get para gerar novos executáveis;
- Utilizar as novas versões para Windows, já compiladas e disponibilizadas.

Alguém gostaria de comentar sobre a novidade ?

Até o próximo post !

sexta-feira, 15 de janeiro de 2010

Turma do dia 25 de Janeiro confirmada

A próxima turma começa em 25 de janeiro, no Rio de Janeiro, com aulas no período integral. O curso tem duração de 40h com teoria e muita, muita prática, e ainda há algumas vagas disponíveis.

O conteúdo abrange Resposta a Incidentes na parte de captura e análise, e obviamente, Computação Forense em seus diversos aspectos. Neste ponto, o foco será na aquisição e na análise forense, com muitos exercícios práticos e estudos de caso. As práticas serão baseadas em software livre, principalmente em live CDs.

Para montar a ementa e o material, procurei aliar minha experiência como perito/investigador com minha experiência com ensino (já fui instrutor de cursos MOC, os cursos oficiais da Microsoft, já dei aula de banco de dados e, num passado distante, já montei um treinamento completo de Visual Basic, que na época ainda não era muito conhecido), e o resultado foi um material que está focado nas principais teorias e técnicas, tratando os assuntos com a profundidade na medida mais adequada à didática, e está recheado de exemplos e aplicações.

A TISafe, tradicional consultoria de Segurança de Informações do Rio de Janeiro com expertise diferenciado em criptografia e PKI, é minha parceira nesse treinamento. Ela também já oferece um treinamento de sucesso na área de formação de analistas de Segurança de Informações, o CFAS, do qual também sou instrutor, de forma que essa experiência será benéfica para o CFPF.

Se tiverem alguma dúvida, entrem em contato por email ou mesmo deixe um comentário aqui no blog.

Até o próximo post !

domingo, 10 de janeiro de 2010

Forense em SQL Server

Com o amadurecimento da Forense Computacional como ciência e disciplina, era de se esperar que cada vez mais surgissem especializações em alguns assuntos específicos.

Um dos assuntos que recebem grande importância atualmente é a Forense de Banco de Dados. Qualquer sistema de informação atual usa um banco de dados para armazenar e tratar suas informações, e está em todos os esquemas atuais de arquitetura de SI. Como parte fundamental dessa arquitetura, nada mais natural que estudos apareçam para desvendar os vestígios das ações realizadas em um banco de dados. Não é incomum, por exemplo, que tenhamos esse componente em investigações de invasão e roubo de informações, pois em última instância, é lá que as informações ficam. Poucos são os que já militam nessa área, mas já despontam algumas pesquisas interessantes.

No final de novembro de 2009, li um artigo excelente sobre artefatos e vestígios em bancos de dados SQL Server. Na verdade, inicialmente eu li uma apresentação em PPT feita na Black Hat, e depois acabei descobrindo que o autor, Kevvie Fowler, adaptou a apresentação de um paper que ele mesmo produziu como resultado do trabalho da certificação GCFA Gold, da SANS.

O artigo detalha muito bem como é possível, apenas de posse do Transaction Log do Banco e sem nenhum outro log ativado, descrever as operações CRUD que foram realizadas nas bases de dados. Na verdade, existem vários produtos no mercado que permitem logar todas as operações em um banco de dados. Porém, o mais comum é chegarmos em um caso e não termos essa facilidade. No entanto, o Transaction Log estará sempre lá, pois faz parte da arquitetura do banco e por isso nem precisa de algum tipo de iniciativa por parte de nenhuma equipe. Logicamente, nem tudo estará lá. As operações de Select, por exemplo, não fazem parte do Transaction Log.

Como não estamos na País das Maravilhas, tinha de existir um "entretanto". Neste caso, o entretanto é que o Transaction Log não é publicamente mapeado. Há alguns softwares que fazem recuperação de dados através do transaction, e o que dizem é que essas empresas licenciaram as informações diretamente da Microsoft.

O artigo não aborda todas as opções possíveis de serem encontradas em um Transaction, mas dá um bom pontapé para um estudo no sentido de automatizar as operações de levantamento dos vestígios. Com isso em mente, iniciei uma linha de pesquisa para criar um script que pudesse automatizar os passos indicados no artigo do Kevvie. Troquei alguns emails com ele, e por fim o script está no que posso chamar de versão alfa. Ainda há algumas coisas a implementar e vários testes, já que são tantas possibilidades que não há como tratar tudo de uma vez só. É aí que entra a comunidade de Computação Forense, pois há poucos dias eu postei algo sobre esse assunto em uma lista de discussões internacional e vários profissionais se colocaram a disposição para ajudar. Em breve vou iniciar a discussão dos detalhes do grupo e ver como faremos para desenvolver novas funcionalidades e testar o script. Provavelmente, o script ficará instalado no SourceForge, mas ainda discutiremos isso com o grupo de trabalho.

Você gostaria de participar ? O perfil é de alguém que conheça SQL Server, para participar dos testes. Se conhecer Perl e SQL Server, poderá participar programando também. O resultado do trabalho será sempre distribuído como open source.

Entre em contato, aqui pelo blog ou pelo meu email, indicando que deseja trabalhar no projeto de Forense em SQL Server. Quanto mais interessados, melhor.

Até o próximo post !

sábado, 2 de janeiro de 2010

Ano novo, cara nova

Não sou designer nem acredito que tenha um gosto tão apurado em relação a layouts, mas manter a mesma cara o tempo todo cansa. Por isso, entramos o ano com um novo padrão e na esperança de termos, além de um ano maravilhoso, excelentes notícias e pesquisas para postar.

Para não ficar só no bla bla bla, aproveito para anunciar que Mark Mackinnon lançou nova versão do Parse Prefetch. Baixe aqui.

Keven Murphy também atualizou seu script de carving. Entre outras coisas, ele monta páginas em HTML com gifs animadas dos vídeos, DOCs e PDFs que encontrar (excelente para quem busca conteúdo indevido). Procure o script aqui.

No mais, FELIZ 2010 ! Esse ano promete. Quer comentar quais seriam os seus desejos para o novo ano ? Compartilhe conosco. Eu gostaria muito que a nova lei de crimes digitais saísse. Além dos benefícios óbvios para todos os brasileiros, isso vai expandir enormemente o nosso mercado.

Até o próximo post !