Documente Academic
Documente Profesional
Documente Cultură
Atendimento ao leitor
E-mail: periciaforense@yahoo.com.br
Site
http://www.guiatecnico.com.br/EvidenciaDigital
Grupo de discussão
http://br.groups.yahoo.com/group/PericiaForense
Evidência Digital - 2
NOTÍCIAS
Novo projeto de lei tipifica cibercrimes no País páginas pessoais hospedadas no provedor que façam
apologia a práticas consideradas ilegais no Brasil. A
Fonte: InfoGuerra posse intencional em meio eletrônico de imagens
pornográficas envolvendo crianças ou adolescentes
O deputado federal Marcos Abramo (PFL/SP) passará a ser considerada como crime.
apresentou, no dia 15 de setembro, um projeto de lei
que altera a Lei nº 8.069/90 (Estatuto da Criança e do "Por meio desse mecanismo, será legalmente possível
Adolescente), a Lei nº 9.296/96 (regulamentação do enquadrar como criminosos aqueles usuários que detêm
inciso XII do artigo 5° da Constituição Federal, que trata em seu poder grande volume de imagens digitalizadas
de interceptação telefônica) e o Decreto-Lei nº 2.848/40 com conteúdo relacionado a atos de pedofilia e que não
(Código Penal), com o objetivo de tipificar e penalizar os foram flagrados pelos órgãos de investigação
crimes informáticos no Brasil. A proposta estabelece competentes durante a transmissão ou recepção dessas
mecanismos para acelerar a apuração dos delitos fotos pela rede, justifica Abramo.
digitais e adaptar as leis brasileiras aos preceitos da
Convenção Européia sobre Cibercrimes. O projeto de lei também propõe a instituição de uma
autoridade central responsável pelo contato com países
O Projeto de Lei nº 4.144 complementa o PL nº 84/99, estrangeiros no tratamento de delitos virtuais. Prevê,
(atualmente 89/03) de autoria do deputado Luiz ainda, a implantação de uma rede de funcionamento
Piauhylino, já aprovado pela Câmara dos Deputados e ininterrupto, para prestação de assistência imediata
em trâmite no Senado Federal. Este dispõe sobre os entre países na investigação de crimes informáticos.
crimes cibernéticos e impõe penalidades para uma série Esta rede já opera no Brasil, porém de modo informal.
de condutas ilícitas específicas cometidas no ambiente
virtual. Com a adaptação das leis brasileiras à Convenção
Européia sobre Cibercrimes o País poderá pleitear a
A complementação visa adequar as leis brasileiras assinatura de tal instrumento. "Ao tornar-se seu
vigentes e futuras ao que estabelece a Convenção signatário, o Brasil estará se equiparando à grande parte
Européia. "Em nosso entendimento, para que o País das nações desenvolvidas do planeta no que tange ao
possa expandir o segmento do comércio eletrônico, é combate aos crimes dessa natureza", afirma o deputado.
necessário que o nosso ordenamento jurídico esteja A íntegra do projeto pode ser vista em
sintonizado com a legislação internacional acerca da http://www.infoguerra.com.br/integras/4144.2004.htm
matéria", explica o deputado.
Na justificativa, Abramo argumenta que a ação dos Homem é acusado em fraude de cartões na web
piratas cibernéticos prejudica o crescimento do comércio
eletrônico no País em decorrência da insegurança do Fonte: IDG Now!
cidadão em realizar transações comerciais pela Internet.
Crimes de sabotagem, falsidade e fraude Na terça-feira (14/09), Philip Cummings, acusado de um
especificamente ligados ao ambiente informático, ainda dos maiores esquemas de roubo de identidade nos
não previstos na legislação vigente e no projeto de lei Estados Unidos, foi culpado pelos crimes
em apreciação no Senado, foram incluídos no PL. de conspiração, fraude na rede e fraude ligada a
documentos de identidade. Segundo o procurador geral
"O instrumento proposto tipifica como crime diversas norte-americano em Nova York, David Kelley, o
condutas praticadas no mundo das tecnologias da fraudador pode pegar até 50 anos de prisão.
informação, além de prever dispositivos específicos com
o intuito de agilizar a apuração desses delitos e Em outubro de 2002, Cummings foi acusado pelo roubo
promover a cooperação entre as nações signatárias da de informações financeiras pessoais de mais de 30 mil
Convenção na sua investigação", esclarece o deputado. pessoas, enquanto trabalhava no serviço de help desk
da Teledata Communications Inc. (TCI). A empresa é
De acordo com as complementações propostas, os uma fornecedora de sistemas utilizados por bancos e
provedores de acesso à Internet e demais empresas instituições financeiras para obter relatórios de crédito de
prestadoras de serviços correlatos passarão a ter maior financiadoras.
responsabilidade em relação aos cibercrimes. Passam a
ter obrigatoriedade na prestação de auxílio ao poder O julgamento do processo envolvendo a TCI foi marcado
público na interceptação de dados informáticos em para 3 de novembro. Neste caso, Cummings e um
investigações criminais, desde que haja determinação cúmplice, Linus Baptiste, utilizaram o acesso a códigos e
judicial específica com essa intenção. Os provedores senhas de clientes da TCI para fazer o download de
deverão registrar a identidade dos assinantes e suas históricos de crédito dos clientes e vendê-los a terceiros
conexões efetuadas e preservar os dados pelo prazo por US$ 30 cada um. O esquema ainda contava com a
mínimo de cinco anos. colaboração de mais duas pessoas, Eniete Ukpong e
Ahmet Ulutas, que usaram estes relatórios para enviar
Também a eles será atribuída a preservação dos dados anúncios e obter cartões de crédito em nome das
de assinantes que estejam sob investigação, tais como vítimas.
Evidência Digital - 3
Quando Cummings foi acusado, o governo norte- quando os criminosos hospedam suas informações no
americano estimou que as fraudes atingiram US$ 2,7 exterior. "Nesses casos utilizamos a cooperação
bilhões. O réu receberá sua sentença em 11 de janeiro internacional, junto com grupos das polícias dos outros
de 2005. Já os colaboradores Ukpong e Ulutas serão países. Nós estamos sempre em contato para
julgados em 3 de novembro. possibilitar o combate efetivo aos crimes cibernéticos",
disse ao canal NBR, da Radiobrás.
Hackers defendem EUA de ataques digitais
Quintiliano esclareceu que denúncias de crimes
Fonte: Estadão cibernéticos podem ser feitas tanto para a Polícia
Federal, como para as polícias civis. O perito informou
O INEEL - Laboratório Nacional de Engenharia E Meio que o Superior Tribunal de Justiça define os crimes
Ambiente de Idaho, nos Estados Unidos, está cibernéticos como crimes federais e que, portanto, estão
contratando hackers para encontrar falhas em redes de sob a competência da Polícia Federal, mas que as
computação de oleodutos, ferrovias e serviços públicos polícias civis já investigam e também "podem e devem
norte-americanos. continuar investigando esses crimes".
Evidência Digital - 4
Dickson S. Guedes
Evidência Digital - 5
diretórios foram criados utilizando-se o caracter de Muito estranha a data de criação deste último arquivo –
espaço, que por não ser imprimível, pode confundir um executável de nome cua4? O que ele faz?
olhares desatentos, porém podemos revelá-los
incrementando nosso comando acima da seguinte Considerações finais
forma:
É claro que em um sistema comprometido não se deve
Comando: find /dev/ -type d –exec echo “’{}’” \; confiar nem mesmo nos executáveis que lá se
encontram, pois os mesmos podem ter sido
E a nossa saída muda um pouco: manipulados. Por isso é interessante manter um backup
dos principais utilitários do sistema em um disquete,
'/dev/' logo após a instalação. Ao efetuar a perícia utilize o
'/dev/fd' comando a partir do disquete montando-o em modo
'/dev/ ' read-only.
'/dev/urandom1'
'/dev/urandom2'
'/dev/urandom3' Porém eu disse que não se deve confiar nos
'/dev/. ' executáveis do sistema, e o mount (usado para montar
o disquete) é um executável que pode ter sido
Agora possuímos apóstrofos delimitadores que revelam modificado, portanto o melhor é ter em mãos um
espaços adicionais em determinados diretórios, disquete de boot com esses utilitários que poderão ser
bastando apenas entrarmos neles para explorá-los. utilizado nessas ocasiões, inicializando-se o sistema
através do disquete.
Verificar se existem arquivos regulares na área de
dispositivos
Referências
Comando: find /dev/ -type f –ls
Using UNIX command find - Samples
http://www.athabascau.ca/html/depts/compserv/webunit/HOW
Como já foi mencionado anteriormente, a área de TO/find.htm
dispositivos (/dev) possui apenas arquivos especiais, de
forma que em um sistema normal o comando acima Find – Table of contents
retorna geralmente apenas um ou dois scripts de http://www.grymoire.com/Unix/Find.html#uh-2
construção de dispositivos (MAKEDEV por exemplo). Já
num sistema comprometido a situação muda de The most GNU/Linux on 1 floppy disk
contexto e o diretório /dev passa a conter alguns http://www.toms.net/rb/
arquivos regulares em seu conteúdo.
Evidência Digital - 6
Daniele de Pinho
Os seus Colaboradores
estão Conscientizados?
Com muita freqüência ouvimos dizer que as pessoas 3. Estabeleça e deixe bem claro quais são as regras do
são o elo mais fraco da segurança das informações, jogo, quais são as normas, o que é permitido e o que não
infelizmente isso é uma realidade cada vez mais é, e quais as conseqüências de não seguir as regras;
observada na maioria esmagadora das empresas. Eu
4. Use a criatividade, crie mascotes, logotipos, gibis e inclua
poderia escrever várias páginas descrevendo situações no seu programa jogos lúdicos, filmes e brindes de
que presenciei que confirmam essa realidade. Um participação, que tenham algo a ver com a sua
grande problema é quando esses “cases” passam a ser campanha;
protagonizados não só por usuários desavisados, mas
também por profissionais experientes que acabaram 5. Incentive os colaboradores a participarem das atividades,
relaxando e se descuidando ou simplesmente se transforme a obrigação em algo prazeroso;
enquadram naquele velho ditado que ouvimos desde
criança “Em casa de ferreiro, espeto é de pau”. 6. Utilize todas os recursos disponíveis na sua organização,
as Áreas de RH e Marketing podem ser grandes aliados;
Que as pessoas são o elo mais fraco da segurança é 7. Crie campanhas com a cara e a cultura da sua
um fato, mas sem elas não há como as empresas organização, utilize uma linguagem acessível a todos os
funcionarem, pelo menos por enquanto... Assim, temos colaboradores, lembre-se nem todos são técnicos e nem
que reverter este quadro e transformá-las em fortes todos tem o mesmo nível hierárquico;
aliados da segurança.
8. Utilize a tecnologia como aliado. Existem
Essa não uma tarefa das mais fáceis, vários tipos de ferramentas que podem
porém é primordial em um processo de auxiliá-lo, como por exemplo, na
divulgação da política de segurança, na
gestão de segurança da informação. A
avaliação do conhecimento dos usuários,
definição de diretrizes e políticas é o ponto no treinamento on-line, existem ainda
de partida, mas não é o suficiente. É ferramentas que podem auxiliar na
preciso mais que isso: conscientizar e imposição das normas de segurança;
capacitar os colaboradores, envolvendo-os
de forma que eles entendam as 9. Mantenha o assunto fresco na cabeça de
necessidades da companhia e se sintam seus colaboradores, não deixe que eles
partes importantes do processo. Se a sua empresa já esqueçam as regras do jogo não dê tempo para isso, faça
possui diretrizes e políticas definidas, é hora então de “lembretes”, como a divulgação de novos jogos, notícias
relacionadas ao assunto, etc., enquanto uma nova
partir para a fase de Conscientização.
campanha não é feita;
Um Programa de Conscientização bem estruturado 10. Última dica: Comece dentro da sua própria equipe. Para
pode trazer excelentes resultados às organizações, se fazer uma boa venda, é importante que os vendedores
ajudando a minimizar incidentes de segurança. Não sejam os primeiros a comprar a idéia.
estou falando só da divulgação das políticas e normas
da companhia, mas de algo mais abrangente. Abaixo, Ao contrário do que se possa pensar conscientização é
relacionei algumas dicas para a estruturação de um um assunto abrangente e deve ser tratado de forma
programa. Não tenho a pretensão de fazer um guia personalizada. Não existem fórmulas mágicas. O
sobre o assunto, mas dar algumas dicas práticas que sucesso de um Programa de Conscientização não
nem sempre são consideradas, e que podem fazer a depende só de como é conduzido, mas também e de
diferença: seu acompanhamento posterior. Será que os
colaboradores da sua organização estão
1. Um Programa de Conscientização deve ir além das conscientizados?
palestras, envolvendo os participantes mesmo quando
não estão em um auditório ou na sala de aula. Você já
ouviu falar em endomarketing?; :: Daniele de Pinho
:: daniele_pinho@hotmail.com
2. Ajude seus colaboradores a entender os porquês, é :: Consultora de Segurança, graduada em Processamento de
mais fácil convencer alguém quando essa pessoa Dados, certificada como auditor líder BS7799.
entende os riscos que estão envolvidos;
Evidência Digital - 7
Evidência Digital - 8
Laura C. M. Coelho e Ricardo J. Bento
Ferramentas de Esteganografia
e seu uso na Infow ar
INTRODUÇÃO legítimas podem incluir imagens de marca d’água por
motivo de proteção de direitos autorais.
A informação é algo que leva o homem a grandes
conquistas, guerras e destruição. Com o advento da As marcas d’água digitais são similares à
internet, a troca de informações se deu de forma mais esteganografia no que tange à ocultação de dados, os
veloz e em pouco tempo se tornou o meio de quais parecem ser parte do arquivo original e não são
comunicação mais utilizado, não só para a própria facilmente detectáveis por qualquer pessoa.
comunicação ou pesquisas escolares, mas também
como meio de fornecer serviços que envolvem Finalmente, a esteganografia pode ser usada para
investimentos econômicos. A internet, inicialmente, não manter a confidencialidade da informação valiosa, para
previa nem seu crescimento estrondoso, nem tão pouco proteger os dados de possíveis sabotagens, roubo, ou
que pudessem aparecer pessoas especializadas em apenas visualização desautorizada.
roubar informações e utilizá-las como meio de
terrorismo e atentados.
ESTEGANOGRAFIA NA INFOWAR
A guerra da informação é uma batalha que amedronta
muito as grandes empresas e o próprio governo. A esteganografia pode ser usada por razões ilegítimas,
Utilizando o roubo ou o uso indevido da informação por exemplo, roubar dados e esconder em um arquivo e
pode-se destruir grandes negócios em poucos minutos. emiti-los para fora por meio de um inocente e-mail.
Os meios e os motivos podem ser a destruição ou Além disso, uma pessoa, com um passatepo de salvar
apropriação indevida da informação por imperícia de arquivos pornográficos, pode esconder a evidência com
quem a utiliza, insatisfação de funcionários, por um o uso de esteganografia. E, para finalidades terroristas,
concorrente ou simplesmente por estrelato. pode ser usado como meio de comunicação secreta.
Para não serem descobertos, os chamados piratas de A esteganografia é fonte de muita discussão,
computador ou hackers passaram a inovar em suas particularmente quando se suspeitou que terroristas,
técnicas nas trocas de informação. Hoje, uma das nos ataques de 11 de setembro de 2004, podem tê-la
técnicas mais eficazes se chama: esteganografia. Tal usado para comunicações secretas [26]. Enquanto
técnica utiliza textos, imagens, sons e vídeos para nenhuma conexão for provada, o interesse indica a
esconder informações de forma que as mesmas eficácia da esteganografia como meios de obscurecer
passem desapercebidas aos olhos humanos. Acredita- dados. Certamente, junto com a criptografia, a
se que grandes atentados terroristas como os de 11 de esteganografia é uma das maneiras fundamentais para
Setembro de 2001, tenham sido estruturados e que dados sejam mantidos confidenciais, seja qual for o
planejados utilizando esteganografia como principal objetivo.
meio de comunicação.
TERMINOLOGIA ADOTADA
DEFINIÇÃO DE ESTEGANOGRAFIA
A terminologia para descrever um subconjunto de
Esteganografia é uma palavra de origem grega, onde informação oculta foi definida no Information Hiding
1
Stegano significa escondido ou secreto e Grafia: escrita Workshop , realizado em Cambridge, Inglaterra em
ou desenho. Abril de 1996.
Não se deve confundir criptografia com esteganografia, A descrição [3] de esteganografia – “escrita oculta” –
pois o primeiro esconde o conteúdo de uma mensagem pode ser feita basicamente da seguinte forma:
e a existência desta é conhecida, já o segundo esconde
a existência da mensagem. Ambas as técnicas podem
ser utilizadas em conjunto para se obter um maior grau
de segurança da informação. 1
First Information Hiding Workshop held in Cambridge, UK in
April 1996; Anderson, R., (ed.): Information Hiding: First
Como muitas ferramentas de segurança, a International Workshop, Cambridge, UK. Lecture Notes in Computer
esteganografia pode ser usada para uma variedade de Science, Vol. 1174. Springer-Verlag, Berlin Heidelberg, New York
razões, algumas boas, outras nem tanto. As finalidades (1996).
Evidência Digital - 9
O dado embutido (embedded data) é a informação que O termo recipiente é dado a qualquer tipo de
alguém deseja enviar em segredo. Este dado informação digital que é transmitida por um sistema
geralmente fica escondido em uma mensagem digital ou analógico, assim como arquivos de texto,
aparentemente inocente, chamada de recipiente ou de áudio, vídeo, figuras, por exemplo, BMP, GIF, JPEG,
objeto cobertura (container ou cover-object), MP3, WAV, AVI ou outros tipos.
produzindo um estego-objeto (stego-object) ou estego-
recipiente (stego-carrier), ou seja, um arquivo com uma Da mesma maneira que um criptoanalista aplica
mensagem embutida. Uma estego-key (stego-key) ou criptanálise na tentativa de decodificar ou resgatar a
simplesmente chave é utilizada para controlar o mensagem criptografada, o esteganoanalista aplica a
processo de esconder, assim como, para restringir esteganoanálise na tentativa de descobrir a existência
detecção e/ou recuperação do dado embutido, somente de informações escondidas. Na criptografia, a
para quem a conhece, ou conheça parte dela. Uma comparação é realizada entre porções (possivelmente
possível fórmula deste processo pode ser representada nenhuma) de plaintexts (texto em claro) e porções de
da seguinte forma: textos cifrados. Na esteganografia, comparações são
realizadas entre o estego-objeto, o recipiente e
possíveis partes da mensagem. O resultado final na
criptografia é o texto cifrado, enquanto que na
Recipiente + mensagem embutida + estego-key = estego-objeto esteganografia é o estego-objeto. A mensagem na
esteganografia pode ou não estar criptografada, caso
esteja, a mensagem é extraída e então técnicas de
criptoanálise são aplicadas.
Para que o estegoanalista possa realizar a análise, faz- para futuros ataques. Mesmo com a mensagem, este
se necessário o conhecimento de algum dos seguintes pode ser um ataque muito difícil e pode ser considerado
componentes [23]: um ataque do tipo stego-only. No ataque chosen stego,
a ferramenta (algoritmo) de esteganografia e o estego-
• Stego-only (apenas Esteganografia); objeto são conhecidos. No ataque chosen message, o
• Known cover (recipiente conhecido); esteganoanalista gera o estego-objeto que aponta o uso
• Known message (mensagem conhecida); de ferramentas ou algoritmos de esteganografia
• Chosen stego (escolha do método de específicos.
Esteganografia); e
• Chosen message (mensagem escolhida).
HISTÓRIA
No ataque stego-only somente o estego-objeto está
disponível para análise. Se o recipiente original e o O primeiro registro conhecido sobre utilização de
estego-objeto estão disponíveis, então um ataque esteganografia está no livro “História” de Herótodo [11],
known cover está disponível. O esteganoanalista pode por volta do ano 440 a.C., onde o tirano grego Histeu
utilizar um ataque known message quando a recebe do Rei Dario a cidade de Mircina como
mensagem escondida já foi revelada anteriormente, recompensa por ter protegido uma região estratégica de
assim um atacante pode analisar os estego-objetos Trácia, uma região pertencente aos domínios de Dario.
Evidência Digital - 10
Quando Dario percebe que havia dado a Histeu uma tamanho de um ponto impresso tendo a clareza de
terra rica em prata e madeira resolve retirar o Histeu do páginas datilografadas de tamanho normal, o que
comando desta, para tanto solicita que Histeu fique ao permitia a transmissão de grandes quantidades de
lado do rei como seu conselheiro em Susa. Histeu, dados, incluindo desenhos e fotos [5].
lisonjeado com o reconhecimento do rei, aceita a
proposta, ficando seu enteado Aristágoras responsável Em termos de computação, a esteganografia evoluiu na
pela cidade. Com o passar do tempo, Histeu descobre prática de esconder uma mensagem dentro de uma
que se não ocorressem distúrbios naquela cidade, maior de tal maneira que uma pessoa não pode
nunca mais voltaria a ela. Sendo assim, Histeu solicita a discernir a presença ou os índices da mensagem. Em
presença de seu escravo considerado mais fiel entre os termos contemporâneos, a esteganografia evoluiu numa
demais. Histeu então lhe raspa a cabeça e tatua uma estratégia digital com intuito de esconder um arquivo
mensagem em seu couro cabeludo concitando em algum dos meios multimídia, tais como um arquivo
Aristágoras à revolta. Quando o cabelo do escravo de imagem, de áudio ou de vídeo.
cresceu o suficiente ele foi enviado à cidade de Mircina,
recomendando o escravo que apenas dissesse a
Aristágoras que lhe raspasse a cabeça e a examinasse ESTADO DA ARTE
com atenção.
A prática de criptografia assume que o método utilizado
Ainda em "História" de Heródoto, consta que na Grécia para criptografar é de domínio público, e a segurança
antiga o meio de escrita era texto em tabletes duplos reside na escolha da chave [17]. Por analogia, é de se
cobertos de cera. Demerato, um grego, precisava avisar esperar que desenvolvedores de sistemas de
Esparta que Xerxes pretendia invadir a Grécia. Como esteganografia deveriam publicar os mecanismos por
lhe faltavam meios para isso e receava ser descoberto, eles utilizados, e confiariam no segredo de suas
serviu-se do seguinte artifício: pegou alguns tabletes chaves. Infelizmente não é o caso, muitos fornecedores
duplos, raspou a cera que os cobria e neles escreveu o deste tipo de sistemas armazenam o cabeçalho dos
aviso com referências aos planos de Xerxes. Feito isso, mecanismos utilizados em seus acordos de não-
cobriu as letras novamente com cera. Os tabletes revelação, algumas vezes justificando a existência da
pareciam estar em branco e sem uso, por isso patente.
passaram pela inspeção e a mensagem chegou ao seu
destino da maneira que Demerato previra.
Sistemas simples
Entretanto, essa não seria a última vez que a
esteganografia seria utilizada em tempos de guerras. Vários softwares de esteganografia estão disponíveis
Tintas invisíveis baseadas em substâncias como suco para embutir informações em imagens digitais. Alguns
de frutas, urina e leite eram utilizadas para esconder deles, simplesmente, utilizam os últimos bits
informação. Até mesmo na 2ª Guerra mundial, a significativos dos pixels da imagem recipiente para
tecnologia mais utilizada de esteganografia eram tais adicionar os bits da mensagem [21]. A informação
tintas [16]. Também foram utilizadas cifras nulas embutida desta forma deve ser imperceptível aos
(mensagens não criptografadas) pelos alemães para sentidos humanos [19], mas é trivial para que um
esconder mensagens secretas. As cifras nulas, que especialista possa detectar e destruir a mensagem.
geralmente pareciam ser mensagens inocentes sobre
acontecimentos ordinários, não gerariam suspeitas, não Outros sistemas assumem que ambos, remetente e
sendo então interceptadas [16]. A seguinte mensagem destinatário, compartilham uma chave secreta e usam
é um ótimo exemplo de cifras nulas (obs.: manteremos um gerador convencional de chaves criptográficas [23].
a mensagem original): A chave é então utilizada para selecionar pixels ou
amostras de som em que os bits do texto cifrado serão
Apparently neutral's protest is thoroughly discounted embutidos [10].
and ignored. Isman hard hit. Blockade issue affects
pretext for embargo on by-products, ejecting suets and No entanto, nem todo pixel é apropriado para codificar
vegetable oils. uma mensagem: mudanças de pixels em grandes
campos de cores monocromáticas, ou nos pixels que
Decodificando essa mensagem, pegando a segunda ficam em fronteiras definidas, podem ser visíveis ao
letra em cada palavra revela a seguinte mensagem olho humano. Alguns sistemas têm algoritmos que
secreta: determinam se um pixel candidato pode ser utilizado,
pela verificação da variação na luminosidade de pixels
Pershing sails from NY June 1. adjacentes, nem tão alta (como numa fronteira) nem tão
baixa (como em um campo monocromático). Sempre
A disposição do documento também costumava revelar que um pixel passar por este teste é possível alterar
informação. Modulando a posição de linhas e palavras, seus últimos bits significativos para embutir um bit de
mensagens poderiam ser marcadas e identificadas [5]. uma mensagem.
Novas tecnologias que armazenavam mais informação Tais esquemas podem ser destruídos de várias
em meios nada suspeitos foram desenvolvidas, a maneiras por um oponente que possa modificar a
detecção de mensagens também foi melhorada. A estego-imagem. Uma possível contramedida é utilizar
invenção alemã dos micropontos foi considerada pelo redundância: alguém poderia inserir um erro corrigindo
Diretor do FBI, J. Edgar Hoover, como a "obra-prima da o código, ou simplesmente embutir uma marca várias
espionagem inimiga". Micropontos são fotografias do vezes. Por exemplo, o algoritmo “Patchwork ” (trabalho
Evidência Digital - 11
com retalhos) de Bender et al. esconde um bit em uma percepção [4]. Geralmente, uma existência de marca
imagem, aumentando a variação da luminosidade de d’água pode ser detectada por testes de estatística,
um grande número de pares de pixels pseudo- enquanto permanecer indetectável aos humanos, a
randomicamente escolhidos [20]. verdadeira questão é até quando pode ser danificado
além da recognição, sem introduzir distorção
Uma forma de atacar estes sistemas é separar a perceptível.
sincronização necessária para localizar as amostras em
que a assinatura foi escondida: figuras, por exemplo,
podem ser cropped (corte das margens de uma foto). Métodos de esteganografia - Imagem
No caso de áudio, um simples, mas efetivo, ataque de
dessincronização pode ser utilizado: randomicamente, A Internet é um canal vasto para disseminação de
excluí-se uma proporção pequena de amostras, e informação. Imagens são utilizadas em toda a rede com
duplica-se um número similar de outras. Isto introduz diversos propósitos, elas provêem excelentes
2
um jitter de alguns décimos de microssegundos, que é recipientes para esconder informações. Ferramentas de
insignificante comparado à precisão com que o som esteganografia podem ser caracterizadas em dois
original foi, na maioria dos casos, gerado, mas grupos: Imagem de Domínio e Transformação de
suficiente para confundir um típico esquema de Domínio.
assinatura.
Ferramentas de Imagem de Domínio envolvem métodos
Com um tom puro, é possível excluir ou duplicar, uma que aplicam inserção do último bit significativo e
amostra em 8.000 jitters, e com uma música clássica manipulação de distorção. Estes métodos são comuns
que posui muitas variações de notas e tons, pode-se na esteganografia e são caracterizados como “sistemas
excluir ou duplicar uma em 500, sem que o resultado simples” em [2]. Ferramentas utilizadas neste grupo
seja perceptível. incluem StegoDos, S-Tools, Mandelsteg, EzStego, Hide
and Seek, Hide4PGP, Jpeg-Jsteg, White Noise Storm, e
Steganos.
Técnicas de transformação
Os formatos de imagens tipicamente utilizados nestes
A interação entre compressão e esteganografia é uma métodos de esteganografia são de lossless e o dado
linha recorrente na literatura. Quando é conhecido pode diretamente ser manipulado e recuperado.
previamente o esquema de compressão utilizado, é
possível personalizar um método de embutir para obter Ferramentas de Transformação de Domínio incluem
um resultado razoável. Por exemplo, em arquivos GIF é aquelas que envolvem manipulação de algoritmos e
possível trocar cores similares (cores adjacentes na transformação de imagens, assim como Transformação
paleta atual) [13]. No entanto, se quisermos embutir do Co-seno Discreto (TCD) [9], [18] e transformação
uma mensagem em um arquivo que pode ser sujeito à wavelet [24]. Estes métodos escondem a mensagem
compressão JPEG e filtragem, é possível embuti-la em em áreas mais significativas do recipiente e podem
múltiplas localizações [25], ou melhor ainda, embuti-la manipular as propriedades da imagem, por exemplo,
no domínio de freqüência, alterando componentes da sua luminosidade. Estas técnicas são mais robustas
transformação do co-seno discreto da imagem. que as técnicas de Imagem de Domínio. Contudo,
existe uma relação entre a informação adicionada à
As técnicas “spread spectrum” são freqüentemente imagem e a robustez obtida [15]. Vários métodos de
combinadas às características do material recipiente. Transformação de Domínio são independentes do
Por exemplo, um sistema de assinatura de áudio de formato e podem suportar a conversão entre os
forma que explore as propriedades de mascaramento formatos de lossless e lossy.
do sistema auditivo humano [5].
O método de compressão Lossless é utilizado quando
Mascarar é um fenômeno em que um som interfere na existe uma necessidade que a informação original
percepção de outro som. O mascaramento da permaneça intacta. A mensagem original pode ser
freqüência ocorre quando dois tons com freqüências reconstruída exatamente igual. Este tipo de compressão
parecidas são tocados ao mesmo tempo. O tom mais é tipicamente utilizado em imagens GIF e BMP. Já o
alto irá mascarar o mais baixo [12], [22]. Contudo, isto método Lossy pode não manter a integridade da
não ocorre quando tons têm freqüências distantes. imagem original, mas economiza bastante espaço em
Similarmente, mascaramento temporal ocorre quando disco. Este método é tipicamente utilizado em imagens
um sinal de baixo nível é tocado imediatamente depois JPG e produzem ótimas compressões.
de um mais forte. Por exemplo, depois de se escutar
um som muito alto, leva um tempo antes que seja Imagens JPEG utilizam a Transformação do Co-seno
possível escutar um som muito baixo. Discreto (TCD) para conseguir uma compressão de
imagem. O dado comprimido é armazenado como
Técnicas de compressão de áudio MPEG exploram números inteiros. Contudo, o cálculo para o processo
estas características [1], além disso, é possível explorá- de quantização requer cálculos com ponto flutuantes
las inserindo assinaturas que estejam acima da que são arredondados. Os erros introduzidos pelo
truncagem do início do MPEG, e abaixo do n i ício da arredondamento definem a perda característica do
método de compressão em JPEG [6].
2
Fenômeno caracterizado pelo desvio no tempo ou na fase de um
sinal de áudio. Pode ser responsável por erros e perda de A ferramenta de esteganografia Jpeg-Jsteg esconde a
sincronismo. informação manipulando os valores de
Evidência Digital - 12
arredondamentos do coeficiente JPEG TCD. A especialmente se esta pessoa estiver procurando
informação é escondida em uma imagem JPEG pela remover uma marca d’água ou impressão digital
modulação das escolhas de arredondamento para cima armazenada em uma música gravada em 1997
ou para baixo nos coeficientes TCD. utilizando a tecnologia disponível em 2047. Esta é a
grande preocupação no caso da utilização de marca
Uma vantagem do TCD em relação aos outros tipos de registrada, ou seja, permitir que a marca não seja
transformações é a habilidade em minimizar a retirada ou modificada, aproximadamente 70 anos
aparência em forma de bloco, quando os limites de depois da morte do autor, no caso de texto e 50 anos
pedaços da imagem com 8x8 pixels se tornam visíveis. no caso de áudio [3].
Máscaras podem incluir imagens de domínio assim Os procedimentos de ataques contra esteganografia
como existir um componente adicionado ou um objeto são: detecção e destruição da mensagem embutida.
imagem. Contudo, uma máscara pode ser adicionada à Um objeto (imagem, som e vídeo) pode ser manipulado
imagem pelo ajuste das propriedades ou com a intenção de se destruir informações embutidas,
transformações da imagem, recebendo, dessa forma, existentes ou não. A detecção da existência de
características de ferramentas de Transformação de esteganografia em um objeto poupa tempo na fase da
Domínio. eliminação da mensagem, quando processados
somente objetos que contenham dados escondidos.
Evidência Digital - 13
Figura 2 – Sistema de Esteganografia Ampliado
Os seguintes ataques estão disponíveis neste modelo: Os ataques stego-attack e know-cover podem ser
prevenidos se o usuário do sistema de esteganografia
• Stego-only (apenas esteganografia): tomar algumas precauções: não se deve utilizar o
Somente o estego-objeto está disponível para análise. mesmo recipiente várias vezes, e também não se deve
O esteganoanalista intercepta o dado e é capaz de utilizar, como recipientes, arquivos que são amplamente
analisá-lo. distribuídos ou facilmente encontrados na web.
Evidência Digital - 15
1º Encontro de Perícia Forense Aplicada à Informática do Rio de Janeiro
Endereço:
Praça da República, 50 – CEP 20211-351– Rio de Janeiro / RJ.
Estacionamento / Metrô:
Próximos ao local
Data:
01/10/2004
Hora:
14:00 às 18:00
Inscrições:
Valor para profissionais: R$ 40,00
Valor para estudantes: R$ 20,00
Link:
http://www.batori.com.br/periciaforense/inscricao.asp
Evidência Digital - 16
Agenda
14:00
Tema: Crimes Eletrônicos e os Tribunais Brasileiros
Duração: 60 min
Renato Opice Blum (renato@opiceblum.com.br)
Palestrante: Empresa: Opice Blum Advogados Associados
Cargo: Sócio Diretor
A apresentação abordará aspectos legais relacionados aos crimes eletrônicos, bem como questões relativas a
obtenção, validade e utilização de provas eletrônicas. A privacidade e o controle de usuários será objeto de avaliação
dentro do contexto jurídico nacional e internacional. A responsabilidade dos gestores de sistemas e de entes
transmissores também será tratada. A palestra busca trazer soluções e cases atuais em situações fáticas no direito
eletrônico. Decisões judiciais nacionais e internacionais serão debatidas.
15:00
Tema: A Máfia Eletrônica Fraudes Financeiras no Século XXI
Duração: 45 min
Denny Roger (denny@batori.com.br)
Palestrante: Empresa: Batori Software & Security
Cargo: Diretor de Segurança da Informação
A palestra tem como objetivo apresentar técnicas utilizadas por estelionatários para aplicar fraudes financeiras através
dos computadores, e demonstrar o que é a Segurança da Informação dentro da organização.
16:00
Tema: E-mail: ruim com ele, pior sem ele. Como se precaver em relação ao SPAM
Duração: 60 min
Rodrigo Jonas Fragola (fragola@aker.com.br)
Palestrante: Empresa: Aker Security Solutions
Cargo: Diretor Executivo
O e-mail representa hoje uma grande ferramenta de comunicação, tornando-se uma necessidade em grande parte das
empresas. Explorado por muitos como forma de propaganda seu mal uso incomoda os usuários e diminui a
produtividade nas empresas.
Iremos apresentar os problemas enfrentados pelos usuários, traçando paralelos entre as técnicas de prevenção que os
administradores podem utilizar, as técnicas de bom uso desta ferramenta por parte dos usuários e as questões legais
envolvidas.
Discutiremos também a eficácia das técnicas apresentadas, mostrando seus pros e contras.
17:00
Tema: Perícia Forense Computacional: Aspectos Práticos
Duração: 60 min
Wanderly Abreu Jr.
Palestrante: Empresa: Storm Development
Cargo: Diretor
Palestra cobrirá com cases reais a prática forense para atestar a força probatória e auxiliar na investigação de crimes
ocorridos no Estado do Rio de Janeiro em diversos aparelhos lógicos e discutirá os aspectos legais da utilização e
admissibilidade de logs nos tribunais brasileiros.
Tópicos:
Evidência Digital - 17
Rafael C. Santos
Policiais Corporativos
Afinal de contas, os cavalos de tróia, worms, vírus e Estes usuários são ameaças para as redes onde
demais programas de código malicioso sempre trabalham, para a grande rede – internet e até para si
utilizaram a ingenuidade do usuário para se disseminar. mesmos. Como? Vamos falar sobre as ameaças ao
Neste artigo vou tomar carona no artigo do Salomão e micro pessoal do usuário. Uma das mais difíceis de
ampliar um pouco o conceito de Agente Digital do Crime combater, pois é talvez a menos esclarecida é a
e falar como o usuário tem se transformado neste questão dos Spywares – softwares que se instalam na
agente. máquina do usuário e monitoram o perfil deste usuário
na internet, enviando os dados coletados para um
Como profissionais de Segurança da Informação, temos repositório na internet.
o dever de proteger as informações das empresas onde
trabalhamos. Nosso dia-a-dia consiste em analisar Os usuários, por total falta de conhecimento, instalam
ferramentas, propor e implementar soluções, “apagar sem o menor problema estes softwares em seus
incêndios”, e muitas vezes, ao vermos o resultado do computadores pessoais e se tiverem chances nas
final de um longo dia de trabalho nos sentimos como se empresas onde trabalham. Além desta ameaça bem
nada tivéssemos feito. Mas como pode? Foram horas comum hoje em dia, podemos citar os ataques de
analisando qual seria a melhor solução de antivírus. “Phishing Scam” (Termo vem da junção das palavras
Dias e dias implementando da melhor maneira possível Password = senha e Fishing = Pescaria) onde o usuário
a solução escolhida. Mais horas configurando as regras é convencido por Engenharia Social a executar um link
do Firewall. Outras horas implementando um sistema baixando um arquivo malicioso e a fornecer dados
automático de distribuição de correções de segurança. confidenciais como suas senhas.
O que pode estar errado?
Falando em Engenharia Social, todo e qualquer ataque
Esta pergunta começa a ser respondida quando que utilize alguma das suas técnicas é um ataque
voltamos um pouco ao nosso dia-a-dia e analisamos perigoso e muito difícil de ser combatido, pois visam
quanto do nosso tempo foi gasto com o usuário. Muitas ganhar a confiança de alguém com privilégios no
vezes nenhum minuto, outras vezes enviamos um computador ou na rede alvo, passando por todas as
simples e-mail para os funcionários comunicando sobre barreiras de segurança e usando os Agentes Digitais do
uma nova ferramenta ou norma, mas é só. Crime como principal ferramenta de ataque.
A eficiência de seu trabalho como profissional de Mas o que é Engenharia Social? Quais são as técnicas
segurança da informação depende diretamente do da Engenharia Social? Engenharia Social nada mais é
tempo que você e sua empresa investem nos seus do que conseguir influenciar pessoas pelo poder da
funcionários, conscientizando, treinando e apoiando. persuasão. Fazer com que pessoas façam o que
Hoje, um grande número de casas pelo mundo todo tem queremos que façam simplesmente pedindo ou
um computador com acesso à internet. Em praticamente induzindo. Para conseguir persuadir o alvo e ganhar sua
todas as profissões o computador é uma ferramenta confiança o Engenheiro Social deve ter algumas
fundamental. Porém a cada dia podemos verificar que habilidades, a saber:
tão rápido quanto cresce nossa dependência dos
computadores e da interligação das informações, cresce • Ousadia
também o número dos analfabetos e semi-analfabetos • Capacidade de influenciar pessoas
digitais. • Persuasão
• Deve saber como ganhar a confiança
Os analfabetos digitais são aqueles que nada sabem • Deve conhecer bem o alvo
sobre o microcomputador. Não têm acesso à internet e
Evidência Digital - 18
Algumas destas habilidades podem ser premiação podem ser criados para estimular os usuários
desconsideradas para ataques em massa como o a estarem atentos quanto à segurança das informações
“Phising Scam” por exemplo. Neste tipo de ataque o e buscarem cada vez mais conhecimento.
Engenheiro Social não precisará contato direto com o
alvo. Irá sim disparar um SPAM para várias caixas E este conhecimento deve ser totalmente democrático,
postais e esperar que alguém acredite nas promessas deve ser exposto na intranet, em murais, mensagens
feitas no texto do e-mail fraudulento. periódicas, e incentivo para cursos externos. Os
treinamentos devem ser amplos, não só com relação à
Outra característica importante e fundamental para a Segurança, mas que seja útil para as atividades diárias
utilização da Engenharia Social é o conhecimento de e como faze-las com segurança e otimizando tempo e
algumas características psicológicas do ser humano. recursos.
Tais como: Confiança, Solidariedade, Autoridade,
Submissão e Instinto de Sobrevivência. Com o passar do tempo e a disseminação da cultura de
segurança, usuários comuns podem ser convidados
Como podemos ver, a Engenharia Social tem como alvo para participarem dos seminários ministrando palestras
fundamental o ser humano e por isso é a mais perigosa e dando testemunhos de casos. Pense em como seria
arma de ataque. Os nossos usuários hoje são semi- oportuno e no interesse que despertaria nos ouvintes se
analfabetos digitais, poucos sabem sobre como se um gerente de unidade remota demonstrasse com
defender e se transformam facilmente em ameaças números, como sua unidade economizou com links, por
gravíssimas para as corporações. exemplo, após ter dado seqüência no programa de
treinamento, multiplicando as informações.
Agora vem mais uma pergunta: Como se defender? O
que nós, profissionais de segurança da informação, E o mais importante, a grande diferença entre
podemos fazer para proteger as informações das Engenharia Social – comumente utilizada para atacar e
empresas em que trabalhamos? Como impedir que a Engenharia Social Corporativa – usada agora para
nossas defesas sejam sobrepujadas pelos ataques de educar, treinar e ganhar os usuários é que na
Engenharia Social? Como garantir a segurança se o elo Engenharia Social, o atacante promete e não cumpre,
mais fraco não é tecnológico e nem processual, mas sim diz ter o apoio de um diretor que nem conhece, se faz
o usuário? passar por alguém que não é.
Existe um velho ditado que ouvi pela primeira vez Enquanto que a Engenharia Social Corporativa deve
quando eu era criança e assistia ao desenho do Pica- sempre ser verdadeira. Prometer e cumprir. Dizer ter o
Pau... “Se não pode vence-los, junte-se a eles.” Este apoio do Presidente e envolver o presidente na
ditado mostra nossa principal arma para impedir que conscientização. O usuário deve ter confiança na equipe
nossos usuários se transformem em Agentes Digitais do de segurança e esta confiança deve sempre ser
Crime. Utilizando técnicas de Engenharia Social para honrada.
transformar nossos usuários em Policiais Corporativos.
Questionamentos feitos pelos usuários não devem
Muito se fala sobre trazer os usuários para a equipe de nunca ficar sem respostas. Incidentes alertados por
segurança da informação, sobre como a segurança é usuários devem sempre ser investigados e este deve ter
responsabilidade de todos na empresa, porém a grande retorno do que foi feito. Assim é possível transformar o
dificuldade é como trazer este usuário para o nosso usuário comum, semi-analfabeto digital em um Policial
lado. Corporativo, muito bem informado. Investigativo,
sedento por informações, curioso e sempre disposto a
Primeiro é preciso informação. Seminários, mini-cursos, ajudar.
palestras precisam fazer parte do calendário
corporativo. Porém não se deve utilizar o formato Este é o segredo para fortificarmos o elo mais fraco da
convencional, é preciso inovar! O usuário precisa de segurança da informação corporativa. Transformando os
uma dose de Engenharia Social Corporativa. Agentes Digitais do Crime em Policiais Corporativos.
É preciso usar da autoridade de alguém forte na cia Transformando usuários simples e desinformados em
para influenciar os usuários a estarem no treinamento. verdadeiros sensores de segurança. Alguns serão como
Este alguém deve sempre ser o Presidente ou os detectores de intrusão, outros serão como
equivalente. Após conseguir influenciar os usuários a gerenciadores de antivírus, alguns serão como
participarem do treinamento, aguçando seu instinto de distribuidores de patches e outros simplesmente
sobrevivência, é preciso agora ganhar sua confiança. multiplicadores. Mas todos serão novas ferramentas,
muito eficazes, para ajudar aos profissionais de
Use exemplos de ameaças que podem estar atacando Segurança.
seus computadores de casa. Mesmo que estas
ameaças não possam agir contra a empresa, :: Rafael C. Santos
fornecendo informações sobre como eles podem estar :: rafael.seginfo@gmail.com
vulneráveis em suas casas e como agir para se :: MCP, MCSO. Analista de Segurança da Informação do Grupo
Schincariol sediado em Itu – SP. Formado em redes de
defender, nós conseguimos ganhar sua confiança e computadores pela Universidade Estácio de Sá - RJ e Pós-
despertar o interesse pelo assunto. Graduado em segurança da informação pelo IBPI / UniRio.
System Forensics,
Investigation and Response
Objetivos Instrutores
À vista: R$ 2.300,00
Parcelado: 3 vezes sem juros Andrey Rodrigues de Freitas
• Bacharel em Processamento de Dados
Inscrições • Especialista em Computação Aplicada
• Especialista em Internet Security
http://www.batori.com.br/treinamentos/curs4con.asp • Criador / Moderador do Grupo Perícia Forense Aplicada à
Informática
• Criador / Editor da Revista Evidência Digital
Inclusos • Criador / Webmaster do site Perícia Forense Aplicada à
Informática
Coffe-Breaks, apostila em português, Certificado do • Autor de vários artigos sobre Perícia Forense
curso Perícia Forense Aplicada à Informática e CD com
softwares gratuitos de segurança.
Evidência Digital - 20
Conteúdo programático
Evidência Digital - 21
• Módulo 4 : Investigando Sistemas Operacionais Linux
o Kit de ferramentas
o Onde procurar provas ?
§ Executando um Shell confiável
§ Capturando a data/hora do sistema
§ Obtendo horas de modificação, criação e acesso de todos os arquivos
§ Detectando quem está conectado ao sistema
§ Detectando portas abertas, aplicativos à escuta e processos marginais
§ Observando todos os processos em execução
§ Descobrindo Sniffers ilícitos
§ Investigando os arquivos de logs
§ Investigando a RAM do sistema
§ Investigando arquivos de configuração importantes
§ Recuperando arquivos e dados excluídos
§ Investigando contas de usuários
§ Investigando contas de grupos
§ Verificando pontos de acesso não-autorizado
§ Analisando relações de confiança
o Realizando buscas por palavra-chave
§ Comando grep
§ Comando find
o Documentando históricos de Shell
o Identificando os discos e partições em sistemas Linux
o Entendendo o sistema de arquivos do Linux
o Entendendo o sistema de diretórios do Linux
o Entendendo o diretório /proc
Evidência Digital - 22
• Módulo 9 : Direito Eletrônico
o Segurança em sistemas e aspectos jurídicos
o Contratos click e o novo código civil
o Direito comparado
o Prova e perícia eletrônica
o Processo Eletrônico
o Delitos tecnológicos
o Jurisprudência em alta tecnologia
o Competência internacional e Legislação aplicável
o Assinaturas eletrônicas
o Comércio Eletrônico
o Spams
o Responsabilidade civil na Internet
o Privacidade
o Controle e monitoramento de usuários em sistemas informáticos
o Inviolabilidade de dados informáticos
o Crackers, pherakers, carders, cyberpunks, internals
o Estelionato eletrônico
o Spoofing e sniffing
o Peculato eletrônico
o Local e tempo do crime
o Interceptação de comunicação informática
o Crimes contra a propriedade imaterial
o Crimes praticados em Lan House ou Cybercafés
o Prova eletrônica
o Convenção de Budapeste
o Projeto de lei nº 89/2003
o Legislação vigente
o Jurisprudência
o Direito Comparado
o Direito Autoral na Internet
o Direito Morais e Patrimoniais do Autor
o Direitos Conexos
o Música MP3
o Peer to Peer
o Violação dos Direitos do Autor
o Trade Dress
o Concorrência desleal no direito digital
o Conflitos de Nomes de Domínio
o Jurisprudência
o Proteção Empresarial e os meios eletrônicos
o Fraudes eletrônicas e procedimentos de segurança
o Proteção ao capital intelectual da empresa
o A prática da concorrência desleal nos meios eletrônicos
o Monitoramento de e-mails pelo empregador
o Termos de uso de e-mail
o Regulamentos de Segurança
o Privacidade em ambiente empresarial
System Forensics,
Investigation and Response
Evidência Digital - 23
Daniel Velasco, Manuel Cuesta, Leonardo Castañeda, Sonia Vivas
Recuperación de Información
NTFS versus FAT
Resumen — Este documento recopila información magnéticas (casettes de audio, de video y de
sobre los sistemas de archivos NTFS y FAT. Con computador), los discos duros y los disquetes) [3].
esta información se hace un resumen de las
posibilidades forenses de recuperar información en Diversos tipos de soportes magnéticos han sido usados
estos sistemas de archivos, y se diferencia entre con el correr de los años. En los primeros grabadores se
borrado y eliminado, y se explica la seguridad que usó alambre ferroso (wire recorder), sin embargo, en los
permiten estos sistemas en cuanto al borrado y equipos modernos se usa una delgada capa de material
recuperación de información confidencial. ferromagnético que es soportada por un sustrato no
magnético. La capa magnética puede estar formada de
partículas magnéticas en una matriz polimérica [1].
INTRODUCCIÓN
Estos soportes magnéticos suelen diferenciarse para
medios duros y medios blandos. Los medios duros
EL OBJETIVO DE ESTE DOCUMENTO ES EXPLICAR AL LECTOR
requieren campos aplicados grandes para lograr el
LAS POSIBILIDADES DE RECUPERAR INFORMACIÓN QUE PUDO
magnetismo permanente y una vez magnetizados, otros
SER CONSIDERADA PERDIDA EN LOS SISTEMAS DE ARCHIVOS
campos intensos son requeridos para revertir la
NTFS Y FAT.
magnetización y borrar el material. Estos medios tienen
gran aplicación en computadoras y almacenamiento de
La información confidencial es un bien invaluable, y datos. Los medios blandos requieren relativamente
como tal debe ser celosamente protegido. Con esto en bajos campos para lograr la magnetización, son
mente y teniendo en cuenta las posibilidades que se apropiados para aplicaciones de audio [1].
presentan actualmente, borrar un archivo confidencial
puede no ser seguro, de modo que esta información Los disquetes de 3 ½ y 5 ¼ están hechos de un plástico
puede estar vagando libremente y puede ser recuperada delgado y maleable (de allí el nombre ‘floppy’), con un
por una persona con acceso a la máquina. A pesar de recubrimiento de óxido, que provee la cualidad
que existen muchas técnicas de borrado seguro, aun es magnética al disco. Los discos Zip también son medios
un procedimiento poco implementado, y existen magnéticos [2].
herramientas que recuperan parte de esta información,
si el borrado no es suficiente. Los sistemas de archivos Los discos duros consisten en uno o más platos de
FAT y NTFS son de uso bastante común, sin embargo metal guardados en una caja sellada. El metal es
la forma en que funcionan no es conocida por los magnético, y la unidad del disco duro utiliza este
usuarios comunes, y por ello se tiende a generar ideas magnetismo para almacenar y eliminar datos [2].
erróneas sobre las posibilidades de estos sistemas.
El deterioro de los medios magnéticos puede producirse
Una de las ideas más comunes en cuanto a la
de diferentes formas, por ejemplo las partículas que
información, es que una vez borrada de la papelera de
conservan la información cifrada en la capa magnética
reciclaje esta información es irrecuperable, sin embargo
pueden llegar a ser inestables, conduciendo a una
esto no es cierto, y la información puede ser fácilmente
pérdida gradual de calidad de la señal y eventual
recuperada. Con el conocimiento suficiente, es posible pérdida de la información [3].
ser más cuidadoso con la información, y entender como
recuperarla en caso de que sea necesario. Información sobre el manejo correcto de medios
magnéticos puede encontrarse en [3] y [4].
Limitations
Max Volume Size 2TB 2TB 2TB 2GB
Max Files on Volume Nearly Unlimited Nearly Unlimited Nearly Unlimited ~65000
Limit Only by Limit Only by
Max File Size 4GB 2GB
Volume Size Volume Size
Max Clusters Number Nearly Unlimited Nearly Unlimited 268435456 65535
Standard - 8.3
Max File Name Length Up to 255 Up to 255 Up to 255
Extended - up to 255
Overall Performance
Built-In Security Yes Yes No No
Recoverability Yes Yes No No
Low on small volumes Low on small volumes High on small volumes Highest on small volumes
Performance
High on Large High on Large Low on large Low on large
Disk Space Economy Max Max Average Minimal on large volumes
Fault Tolerance Max Max Minimal Average
Evidência Digital - 25
sino que ha sido mejorada a medida que pasa el tiempo. cual se le pueden agregar más atributos en un futuro de
ser necesario [28].
Microsoft ha realizado cambios a NTFS, por diferentes
razones, entre las cuales encontramos la corrección a Internamente, NTFS almacena todos los archivos,
problemas del sistema de archivos, para dar soporte a incluyendo los archivos de metadata, usando un sistema
nuevo hardware, y para habilitar nuevas características de clusters. NTFS, al igual que FAT, no manejan
de los sistemas operativos [23]. Existen 2 versiones de sectores individuales de 512 bytes, en lugar de esto
NTFS, las cuales son NTFS 1.1 o como también es estos sectores son agrupados en bloques que son
conocida NTFS 4.0 [24], y por ultimo NTFS 5.0 [25]. El llamados clusters, o como también son llamados
cambio mas grande que ha tenido NTFS, ocurrió con la allocation units. La principal razón para utilizar clusters
salida al mercado de Windows 2000, el cual tiene unas e s el desempeño, ya que de lo contrario, se requeriría,
características nuevas, las cuales debían ser soportadas una gran cantidad de recursos para mantener el rastro
por el sistema de archivos[23][26]. de un archivo, y adicionalmente, la fragmentación del
disco, se convertiría en un problema mucho mas serio.
El diario de operaciones es un conjunto de caracteres NTFS utiliza un tamaño por defecto del cluster
que crean un log persistente de las operaciones que ha dependiendo del tamaño de la partición. La siguiente
realizado en volumen, estas son: adición, modificación, tabla muestra el tamaño por defecto para los clusters
borrado, por cada volumen NTFS [46]. dependiendo el tamaño de la partición [29].
Evidência Digital - 26
En esa tabla muestran los tamaños por defecto que Cuando se crea una partición NTFS, el primer bloque de
utiliza NTFS para los clusters. Este tamaño por defecto información que es creado es el Boot Sector o Sector de
puede ser modificado al momento de realizar el formato, Arranque. Esta estructura es fundamental para NTFS, y
al utilizar el parámetro “/A [tamaño]”, en el comando se encarga de manejar información que no es
FORMAT. El tamaño de los clusters tiene un efecto almacenada en el Master File Table de la cual
importante en el desempeño del sistema, ya que al hablaremos mas adelante. Este sector esta compuesto
aumentar el tamaño del cluster, además de poder por 16 sectores de 512 Bytes, para un total 8 kB. El Boot
perder la capacidad de realizar compresión de archivos Sector, empieza en el primer sector de la partición, y
de NTFS, el tamaño del Slack también aumenta. El esta conformado por dos estructuras, las cuales son el
Slack es la porción de un cluster que es desperdiciado bloque de parámetros de la BIOS, y el código de
por un archivo, que no ocupa en su totalidad, todo el arranque, o bootstrap. De estos hablaremos a
cluster. [29][31]. continuación.
Evidência Digital - 27
Una vez terminado el bloque de BPB, y el Extended dentro del sistema de archivos NTFS, es considerado un
BPB, comienza la estructura llamada bootstrap code. record, con sus excepciones, el cual esta compuesto por
Normalmente el bootstrap code ocupa 8 sectores. Los varios atributos, entre los cuales los datos, son solo uno
restantes 8 sectores del Boot Sector, están totalmente de los muchos atributos de ese registro. [34][35][41][42].
llenos con ceros. En el primer sector normalmente se
encuentra código en lenguaje de máquina hasta un Cuando la partición es creada, el programa que da el
offset de 0x182, desde el inicio del sector, para mayor formato a la partición, crea un grupo de archivos que
información sobre este segmento, consulte [36] [37] [38], contienen la metadata, que es usada para implementar
el cual tiene la traducción a código en assembler, y la estructura del sistema de archivos. El sistema de
comentarios sobre su funcionamiento. Comúnmente los archivos NTFS reserva los primeros 16 records de la
últimos 125bytes del primer sector del Boot Sector, MFT, para la información relacionada con esos archivos
contienen mensajes de error, también tiene el número de metadata [34] [41] [42].
de bytes de offset de cada uno de los mensajes, y el
signature ID o End of Sector Marker. Normalmente los El primer record tiene información que describe el
mensajes de error empiezan a un offset del inicio del funcionamiento la MFT, y una lista con todo el contenido
sector de 0x183. Todos los mensajes de error, del volumen NTFS, el segundo registro a metadata, es
empiezan con los bytes 0x0D, y 0x0A. El primero es un una copia imagen, del primer registro. Si el primer
Carriage Return y el segundo en un Line Feed. Y todos registro se corrompe, es utilizado el segundo registro
terminan con el byte 0x00, que comúnmente es para restaurar al primero.
conocido por muchos lenguajes de programación como
el terminador de una cadena de caracteres, como el ‘\0’ El tercer registro de matadata, es un registro de log, que
en el lenguaje C. El número de Bytes de offset de los almacena todas las transacciones de los archivos, y es
mensajes, empieza siempre a un offset del inicio del muy útil para restauración de archivos y del sistema.
primer sector de 0x1F8, y esta compuesto normalmente Siempre que el sistema se ha corrompido, este log es
por cuatro bytes, esto claro, si hay cuatro mensajes de usado para la restauración. Este registro tiene un
error. La diferencia entre los valores de cada uno de tamaño máximo de 4 MB.
estos bytes nos da el número de bytes que hay entre los
mensajes correspondientes. Finalmente el Signature ID Los siguientes 8 registros, almacenan información sobre
siempre debe tener el valor de 0x55AA, hay que tener el sistema [41] [42]. Estos registros son el Descriptor del
en cuenta que en la arquitectura Intel x86, siempre se Volumen, el cual tiene información sobre el volumen,
almacena primero la parte baja de la palabra, por lo que como el nombre, y fecha de creación entre otros. El
en realidad queda almacenado en el disco duro es la registro de Tabla de Definición de Atributos, el cual
siguiente secuencia de bytes “AA 55” [36] [37]. contiene el nombre y la descripción de los atributos
usados en la partición NTFS. También encontramos el
Los seis siguientes sectores que están después del Boot registro del Root Directory/Folder, el cual es un
Record (Primer Sector), contiene el código del bootstrap apuntador al directorio o carpeta raíz de la partición.
o código de arranque, que hace interfase con el archivo Otro registro muy importante es el Cluster Allocation
NTDLR, si este existe, para iniciar el SO en la partición. Bitmap, el cual contiene un mapa lógico de los clusters
El segundo sector siempre tiene en sus primeros 16 de la partición, mostrando cuales están ocupados y
bytes lo siguiente “05 00 4E 00 54 00 4C 00 44 00 52 00 cuales están libres. De estos registros, el más
04 00 24”. Entre el tercer y doceavo byte, se puede leer importante para efectos de esconder información, es el
N.T.L.D.R. El resto del sector es código de máquina. Del décimo registro llamado Bad Cluster File, el cual tiene la
tercer sector al séptimo sexto sector, solo hay código de información sobre todos los clusters defectuosos dentro
máquina. Recordemos que el código del bootstrap es del volumen. Otro registro llamado el Volume Boot
dependiente del sistema operativo, ya que cada sistema Code, el cual tiene una copia del código de arranque de
necesita realizar rutinas diferentes para cargar los la partición. Encontramos también el registro llamado
diferentes componentes necesarios ya que todos los SO Quota Table, el cual contiene información de la cuota, si
tienen una arquitectura relativamente diferente. El esta es usada en la partición. Por ultimo encontramos el
séptimo sector tiene sus últimos 300 bytes en cero, al registro llamado Upper Case Table, el cual contiene la
igual que los 9 sectores restantes. [36][37][38]. NTFS información para convertir los nombres de los archivos
hace una copia de seguridad del Boot Sector, y su al sistema de nombres de archivos Unicode. Los
ubicación depende del sistema operativo. Windows NT restantes 5 registros de metadata, están reservados
3.51 y versiones anteriores almacenan esta copia en el para un uso futuro, pero es posible utilizar estos 5
centro lógico del volumen, mientras que versiones registros para ocultar información, aunque NTFS no lo
posteriores almacenan esta copia al final del volumen. utiliza
[34] [36] [41]. Exactamente después de que terminan los
16 sectores correspondientes al Boot Sector, empieza NTFS usa los registros de MFT para definir los archivos
otra importante estructura llamada Master File Table. a los cuales corresponden. Toda la información de un
archivo, ya sea fechas, horas, permisos y contenido, son
guardados en la MFT o en un lugar externo pero
Tabla Maestra y Metadata descrito por la MFT.
El Master File Table es en esencia, una tabla de una Si un archivo es pequeño típicamente 1.5kB o menos,
base de datos relacional, la cual contiene varios este puede ser almacenado en su correspondiente
atributos para cada uno de los archivos que existen registro dentro del MFT. Si un archivo es muy grande o
dentro de la partición. Como habíamos dicho, todo esta altamente fragmentado, es necesario que la MFT
Evidência Digital - 28
contenga más de un registro del archivo, en este caso, Tipo de
Descripción
el primer registro, el registro base, contiene la ubicación Atributo
de los otros registros. Si un registro de una carpeta o un Información Información como estampilla de
archivo es muy grande para ser almacenada dentro del estándar tiempo, y fechas.
MFT, estos son organizados en árboles – B. Donde el Lista de En caso de no residir en la MTF,
registro, dentro de la MFT, guarda apuntadores a Atributos da la ubicación de la lista de los
clusters fuera del MFT. La anterior arquitectura se Atributos foráneos.
encuentra expresada en la siguiente figura [41] [42]. Nombre del Atributo siempre presente, que
Archivo puede tener una longitud de 255
caracteres Unicode.
Descriptor de Describe quien tiene permisos y
Seguridad quien es el dueño.
Data Contiene los datos del archivo.
NTFS permite varios atributos
DATA, cada cual con sus
específicos, según los
requerimientos.
ID del Objeto Numero único para el archivo, que
se usa en el USN, pero no todos
los archivos tienen uno.
Herramienta Usado por el EFS, para poner
de Logeo entradas en log del sistema de
archivos.
Punto de Usado para rastrear puntos de
Restauración restauración del sistema junto con
el log del sistema de archivos.
Índice de Raíz Usado para implementar carpetas.
Atributos de archivos. Índice de Usado para implementar carpetas.
colocación
Todo sector diseccionado por NTFS en una partición, Bitmap Usado para implementar carpetas.
corresponde a archivos. Para NTFS un archivo o un Información Contiene la versión del sistema de
directorio son un conjunto de atributos. Elementos como del volumen archivos
nombre, permisos, y demás son atributos [41] [42]. Nombre Del Contiene el nombre del volumen.
volumen
Un código identifica un atributo, cuando un atributo esta
en la MFT se llama atributo residente, el nombre y la NTFS, también cuenta con un sistema de criptografía
estampilla de tiempo siempre son residentes. Si el de archivos llamado EFS, el cual protege la información,
conjunto de atributos es muy grande algunos de estos de personas si autorización. Esta característica es
son no residentes, entonces NTFS direcciona estos transparente para el usuario.
atributos a un espacio reservado en un grupo de cluster
en algún lugar del volumen. Y se crea una lista de Algo que es de gran importancia para nosotros, es como
atributos que describen los registros de los atributos [41] maneja NTFS los clusters, ya que no son diseccionados
[42]. de una manera física, el lo hace de una manera lógica,
así NTFS cuenta con un conjunto de clusters
Existen diferentes tipos de atributo. Están los de disponibles, y otro conjunto que son utilizados, así se
información estándar, como las estampillas de tiempo. direcciona de una manera que los archivos están en
Otro tipo es la lista de atributos externos al MFT, el cual clusters virtuales continuos, y se agrupan por archivos y
tiene la ubicación de todos los clusters con los atributos por directorios. Esto es de gran importancia para la
no residentes. Otro atributo es los permisos, el cual le recuperación de archivos, ya que en ese conjunto de
brinda seguridad, a este sistema de archivos, se puede clusters disponibles es que están los archivos que se
especificar una lista de acceso al archivo, propietarios. desean recuperar. [50]
Otro de los atributos como la habíamos mencionado
anteriormente, son los datos. Si estos son lo Un sistema de archivos basado en un diario de
suficientemente pequeños estos pueden ser operaciones, tiene muchas ventajas, entre ellas la mas
almacenados dentro del MFT, de lo contrario lo que se importante es que brinda la posibilidad de recobrar el
almacena es un grupo de apuntadores, a los cluster sistema de indexado del sistema de archivos cuando
externos al MFT que contienen los datos. ocurre una falla en el volumen. NTFS maneja su sistema
de archivos utilizando índices, de tal forma que se
Uno de los atributos mas importante es el Object ID, el puede saber donde esta almacenada toda la
cual es único dentro del volumen para cada archivo, información dentro del volumen. NTFS, en sus primeras
pero hay algunos archivos que no tienen o usan este versiones, no manejaba un diario de operaciones o log
identificador. También hay un atributo, el cual se de persistencia, por lo que la restauración del sistema
encarga asignar diferentes acciones al archivo. era muy complicada y demorada. Con la versión 5.0,
NTFS se convirtió en un sistema de archivos basado en
La siguiente tabla contiene los atributos externos de un un diario de operaciones (NTFS Change Journal).
archivo de NTFS [57]. [52][53]
Evidência Digital - 29
NTFS tiene un diario de operación por cada volumen FAT16
presente en el sistema. El sistema de diario de
operaciones, crea un registro para cada cambio que Se organiza por sectores, cada sector es de longitud
experimente un archivo o carpeta. Estos cambios son igual a 521 bytes. Es la unidad más pequeña usada por
creación, modificación y borrado. Cada registro el Sistema Operativo. Aunque el cluster es la unidad que
almacena el tipo del cambio realizado y el nombre del se utiliza para direccional los archivos en un volumen
objeto cambiado y una estampilla de tiempo, pero la FAT 16. El tamaño del cluster lo determina el volumen
información cambiada en si no es almacenada. [53] Este de la unidad teniendo un tamaño máximo de 64 KB [46].
sistema de diario de operaciones, nos permite rastrear
la historia y demás información sobre todos los archivos Se utiliza FAT 12 en caso de que el volumen sea muy
y carpetas, existentes. Si existen varias particiones o pequeño, teniendo que cada entrada de la FAT sea mas
vario volúmenes, los registros son adicionados a todos pequeña se tiene como resultado una FAT pequeña y
los volúmenes y particiones a las cuales se tenga así se optimiza el espacio [46].
acceso [52] [53]. Este sistema de diario de operaciones
desafortunadamente no tiene la capacidad de retroceder En un volumen FAT 16 se tiene un directorio raíz. A
los cambios realizados a los archivos y carpetas, pero diferencia de los directorios comunes, el directorio raíz
es una gran herramienta determinar que operaciones ha es de tamaño fijo, 512 registros por volumen lógico. El
realizado determinado archivo [52] [53]. El diario de número de registros en un disco extraíble depende del
operaciones un archivo, que cuando es creada la tamaño del volumen [46].
partición de NTFS, inicialmente esta vació. Este archivo
esta oculto, para que los usuarios no tengan acceso
directo a el. Cada vez que ocurre un cambio en un Boot Sector
archivo se agrega un registro al final del diario de Fat
operaciones. A cada registro se le asigna un
FAT 2
identificador de 64 bits, llamado Update Secuence
Number (USN). Root Folder
Datos
Cada vez que un USN es generado este incrementa su [46]
valor. Una característica algo extraña es que estos
números de secuencia no son consecutivos, ya que los Los directorios tienen entradas de 32 bytes por cada
que implementaron este sistema escogieron utilizar el archivo y directorio que contiene el directorio. La
offset del registro, como USN. [53]. Ya que los registros siguiente tabla muestra los componentes de un archivo
contienen el nombre del archivo, que ha sido “alterado”, o directorio [46].
el tamaño del registro también varía. Esta es la razón de
porque los USN no son consecutivos. El sistema escribe Entrada Bits
en el diario, en bloques de 4 kB, los cuales contienen
Nombre 8.3
entre 30 y 40 registros. Si un registro no cabe en el
bloque, el espacio restante del bloque es rellenado con Atributo 8
ceros, y se inicia un nuevo paquete, donde se introduce Hora de Creación 24
el registro. Todos los registros que se encuentran en la Fecha de Creación 16
MFT, almacenan diferentes atributos sobre los archivos Ultimo Acceso 16
que hay en el sistema, estos registros también
Ultima Hora Modificación 16
almacenan el último valor del USN, que se le ha
asignado a su respectivo archivo. [53]. El archivo del Ultima Fecha de Modificación 16
diario, tiene un tamaño máximo, el cual al alcanzar su Número del primer cluster 16
máxima capacidad, empieza a descartar los primeros Tamaño del Archivo 32
registros almacenado en el. [53]. [46]
El diario de operaciones se puede deshabilitar en No existe una organización para los directorios. Se
cualquier momento. Resulta curioso, que siendo esta asigna el primer cluster libre en el volumen a un archivo.
una gran y útil herramienta, esta deshabilitada por El campo de primer cluster corresponde a la dirección
defecto. [53] del primer cluster usado por el archivo. Al final de cada
cluster contiene un fin de archivo (0xFFFF) o un
apuntador al siguiente cluster. Esta organización de la
FAT FAT es usada por todos los sistemas operativos que
tienen soporte para FAT [47].
FAT se refiere a la Tabla de Asignación de Archivos
(File Allocation Table, por sus siglas en inglés). La Debido a que las entradas de un directorio son iguales
característica principal son sus dos copias por volumen: en tamaño, el byte de atributo para cada entrada de un
Si se pierde la primera se recupera de la segunda. La directorio es usado para describir que tipo de entrada
FAT primaria esta en un corrimiento especifico para que es. Es decir un byte indica que se trata de un sub-
siempre la encuentre, y la secundaria al final del directorio, y otra entrada marca que es la etiqueta de un
volumen. FAT16 funciona igual en todos los sistemas volumen. Normalmente solo el sistema operativo usa
operativos Windows, al igual que FAT32. este método [47].
Evidência Digital - 30
Hay 4 atributos posibles El tamaño máximo de un volumen de FAT 32, depende
del máximo número de entradas en la tabla maestra, el
• Archivo número de sectores por cluster, y el conteo de 32-bits
• Archivo del sistema en la tabla de particiones, aquí se asume un sectores de
• Archivo oculto 512 [46].
• Solo lectura
Como FAT 16 tiene un tamaño máximo para el volumen, Tamaño del cluster Tamaño máximo del volumen
y el tamaño del cluster esta determinado por el tamaño 512 Bytes 127.9 GB
del volumen, entonces, a continuación se muestra una 1 KB 255.9 GB
tabla con el tamaño normal del cluster para diferentes 2 KB 511.9 GB
tamaños de volúmenes [46].
4 KB 1023.9 GB
La siguiente tabla muestra los posibles tamaños de 8 KB 2047 GB
particiones [46]. 16 KB 2047 GB
32 KB 2047 GB
Tamaño de la Partición Sectores por Cluster Tamaño del cluster [46]
0 – 32 MB 1 512 bytes
equivalente al tamaño del sector de la partición
33 – 64 MB 2 1024 bytes
65 – 128 MB 4 2048 bytes Figura 1 – Ejemplo de la Tabla de Asignación de Archivos
129 – 256 MB 8 4096 bytes
256 – 512 MB 16 8192 bytes
512 – 1024 MB 32 16 KB
1024 – 2048 MB 64 32 KB
2048 – 4096 MB 128 64 KB
FAT 32
FAT 32 puede manejar archivos de 4 GB menos 2 La primera estructura importante en un volumen FAT es
bytes. La diferencia es que FAT 32 maneja 4 bytes por la BPB (BIOS Parameter Block), que se aloja en el
cluster contra 2 bytes de FAT 16. Una partición de primer sector del volumen en la región reservada. Este
FAT32 debe tener por lo menos 65527 clusters y el sector a veces se denomina "sector de arranque", o
tamaño de la partición no puede aumentar [46]. sector reservado o sector 0. Este sector no existía en
MS-DOS 1.x, debido que solo manejaba discos flexibles.
Boot En MS-DOS 2.x solo se permitía que el volumen tuviera
Root 65.536 sectores debido a que el número de sectores se
almacenaba en 16 bits. En las versiones 3.x se asignó
FAT un campo de 32 bits para el número total de sectores.
FAT Antes de Windows 95, FAT16 estaba limitada en 2 GB
Datos para el tamaño máximo de cluster si el volumen es de
[46] sectores de 512 bytes, pero FAT32 resuelve
parcialmente este problema al permitir volúmenes
La FAT crece con respecto al tamaño de volumen, así mayores de 2 GB pero con una sola partición.
con un volumen muy grande, se tiene una FAT muy
grande lo cual hace que calcular el espacio libre tome
mucho tiempo, y en general el comportamiento del ¿Qué permite?
sistema operativo con una FAT grande hace que los
tiempos de búsqueda aumenten [46]. FAT fue uno de los primeros sistemas de archivos, sus
diseñadores no utilizaron el conocimiento que ya existía
La tabla maestra de archivos es una lista de registros de en ese tiempo sobre diseño de sistemas de archivos. Su
32-bits, que tiene una relación uno a uno, con los organización simple permite un manejo fácil de la
clusters de datos. La única diferencia en el manejo de fragmentación de archivos, lo que afecta el desempeño
esta tabla, es la adición al cluster de una palabra larga en el resto de las operaciones del sistema de archivos.
en la entrada de los directorios que accedan el cluster FAT no fue diseñada manejar la redundancia de la
[46]. información, en caso de que el sistema colapse.
Evidência Digital - 31
Borrado Técnica de sobre escritura de Guttman:
El Departamento de Defensa de los EE.UU. Ha definido Cuando un archivo es borrado no se hace nada a los
una serie de métodos de eliminado de información no clusters que contienen la información, lo que se hace es
clasificada de sus computadores, antes que estos sean desvincular de la tabla de la FAT la dirección al archivo,
redistribuidos. El método escogido depende del tipo de
disco [17]:
Degaussing:
Para eliminar un archivo del FAT es necesario borrarlo y (1990's) disco duro 1400-2200 Oe
después escribir sobre el mismo. Este proceso puede 1/2" cinta magnética 300 Oe
darse a voluntad de una persona o como consecuencia
de borrar un archivo. Después de borrar un archivo, el 1/4" QIC metálica 550 Oe
sistema operativo considera el espacio que este utiliza 8 mm cinta metálica 1500 Oe
como libre, de modo que cuando necesite guardar algo
es posible que sobrescriba el archivo. [11] DAT cinta metálica 1500 Oe
Es importante anotar que este sistema automático, no Al recuperar, una de las opciones es buscar en el log de
garantiza que la información no se pierda, si una persistencia el momento en el cual fue borrado un
transacción no se completa y el sistema falla, esta registro de la MFT y así recuperar el archivo, esto se
transacción se pierde, y dada la naturaleza de esta auto debe al USN el cual fue explicado con anterioridad. Con
recuperación, el usuario no sabrá que la transacción no ese número y la información en el log de persistencia el
se completo. sistema de archivos recupera el archivo borrado.
Evidência Digital - 34
Pero pasado un tiempo, el diario de operaciones o log guardados en unidades en la red; recupera archivos aun
de persistencia para esa transacción desaparece, y es si su encabezado no esta disponible (esta es una
ahí cuando es necesario el uso de software característica que cumplen muy pocos productos), en
especializado. Este software primero busca en la MFT este caso soporta arj, exe, mov, zip, avi, gif, mp3, bmp,
por registros de borrado, y los recupera [54], después hlp, pdf, cdr, html, png, doc, htm, rtf, dxf, jpg, tar, dbf,
busca el bloque de datos donde esta el archivo, este lzh, tif, xsl, mid y wav.
bloque es posible encontrarlo ya que se encuentra entre
los clusters que están disponibles, busca en ellos y Este programa se presenta como freeware. No sirve si
recupera el archivo [54]. Estos clusters virtuales se tienen problemas mecánicos con el drive, por
ejemplo si el disco duro no es reconocido por el BIOS o
disponibles son agrupados a medida que se liberan, y
hace ruidos inusuales. [14]
se van usando conforme aumenta la cantidad de
información en el disco. Entonces al buscar en los
Las siguientes son imágenes de la pantalla tomadas
clusters disponibles, se encuentran los archivos que
para explicar la funcionalidad del software.
fueron eliminados. [50]
La pantalla de bienvenida permite recuperar archivos
La búsqueda de archivos borrados en NTFS es posible, eliminados, encontrar datos perdidos o encontrar
ya que se buscan atributos comunes, que mantienen los unidades perdidas.
archivos inclusive después del borrado, nombre,
tamaño, fechas, etc [55]. A diferencia de FAT, archivos o
directorios borrados en NTFS, tiene un campo en el
encabezado del archivo o directorio que indica que fue
borrado, este campo son 2 bytes. Estos 2 bytes definen
el estado del archivo, para nuestro caso, solo nos
importa el primer byte que define si esta en uso o
borrado. [55]
Demostración
FileRecovery à Es un programa
de recuperación de datos que
soporta los sistemas de archivos
Fat12/16/32 y NTFS. Este
programa encuentra particiones Una vez escogida la unidad, el programa se demora
automáticamente, aun si el sector unos segundos encontrando los archivos y carpetas que
de boot a sido borrado o dañado estaban perdidos o borrados. En esta imagen se
(esto solo en FAT, no en NTFS); presenta el caso de recuperación de archivos
recupera archivos con sus marcas eliminados. Estos archivos pueden ser guardados en un
de fecha y hora originales; los directorio específico, pueden ser renombrados, y
archivos salvados pueden ser pueden ser recuperados como texto o en hexadecimal.
Evidência Digital - 35
Las siguientes ventanas son imágenes tomadas de la
versión gratuita del programa.
Se recuperan el archivo y la dirección en la que este se Se puede elegir el tipo de archivo que se esta buscando,
encontraba, con excepción de casos extremos. el asterisco significa que se están buscando todos los
archivos.
Se pueden recuperar archivos de volúmenes
reformateados o corruptos, esto es posible aun si el Una vez realizada la búsqueda, los archivos
volumen ha sido borrado y su posición original y su encontrados pueden ser ordenados por cualquiera de
tamaño es desconocido. Este programa maneja discos las características que se exponen en la parte inferior de
con sectores dañados y con particiones corruptas de la pantalla, además pueden ser vistos en directorios o
manera transparente al usuario.[15] como archivos individuales. Se puede además escoger
la carpeta a la cual serán recuperados los archivos.
Este software puede ser instalado y corrido desde un
disquete.
doc_prueba.doc
Cluster: 1382271
Tamaño: 298496
La primera parte del proceso es ejercer el método de US DoD 5220 (8-306. /E) (3 pasadas)
Guttman en el espacio libre, así el espacio libre que
tiene el disco duro queda estéril, de tal manera que la PC Inspector File Recovery
recuperación del archivo es única y confiable.
Encuentra una archive de Word, pero no recupera el
Se sigue el siguiente procedimiento: nombre. Y el contenido es basura aparentemente.
doc_prueba.doc
Cluster: 1382271
Tamaño: 298496
Cuando se realizo la verificación de esterilización se Winhex-> Esta es una herramienta para editar archivos
encontraron, 4275 archivos perdidos, de los cuales, en hexadecimal. Es una herramienta muy potente que
algunos son mp3, y otros son unos archivos de texto, En permite manipular en sistema de archivos en una gran
Evidência Digital - 37
variedad de formas. clusters, es decir no necesariamente en el principio de
cada cluster. Esto es necesario al recuperar archivos de
cintas de soporte donde no se usan clusters. También
Figura 3. Editor de imágenes permite la recuperación de archivos que
deliberadamente estaban almacenados en lugares
ocultos.
Conclusiones
En la Figura 3, el editor de imágenes permite explorar
Al recuperar archivos en FAT hay que tener en cuenta
cada volumen, directorio y archivo del disco en forma
que fue uno de los primeros sistemas de archivos
hexadecimal, tal como están grabados físicamente. En
diseñados [19], y que presenta varias limitaciones,
la primera sección vemos los volúmenes lógicos, en
especialmente en las primeras versiones. FAT no
este caso Removable Medium, Windows, Applications,
soporta redundancia ni guarda una copia del sector de
Fun, Setup, Test1, Test2, CD-ROM Drive, RAMDrive. arranque.
Evidência Digital - 39
Evidência Digital - 40
Leonardo Cunha
A porta da Segurança...
ou da Insegurança
Aposto que ao se deparar utilizados antivírus do mercado é o Norton Antivirus
com o título desse artigo, 2003 (http://www.symantec.com.br/region/br /product/
você leitor, imaginou que nav/nav_9xnt). Outro antivírus muito popular e bastante
eu estivesse me referindo funcional é o McAfee VirusScan Home Edition 7.0. Você
sobre uma das portas que pode obter mais informações sobre esse produto no
possibilita a utilização de endereço: http://www.mcafee-at-home.com/products/
algum serviço que possa virusscan. Como alternativa de antivírus gratuito posso
ser executado sobre a pilha citar o AVG AntiVirus 6.0 Free Edition
de protocolos TCP/IP, que (http://www.grisoft.com). Esse antivírus além de ser
de alguma forma estivesse me referindo sobre a gratuito é leve. Devido as suas qualidades esse
influência dessa porta na segurança da rede de antivírus, atualmente, está sendo muito requisitado
computadores de alguma corporação. Se pensastes pelos internautas, principalmente em sites
nessa possibilidade, você está completamente especializados em disponibilizar programas shareware,
equivocado. freeware, etc.
Constata-se em uma rápida pesquisa a qualquer Sobre os softwares de criptografia posso citar o PGP
softwarehouse do país – com a explosão dos softwares 8.0.2 Freeware. Esse é um dos melhores programas de
livres será que essas lojas vão conseguir sobreviver? - criptografia existentes no mercado e pode ser obtido
há existência de uma enorme variedade de programas gratuitamente no endereço: http://www.pgp.com/
que têm como escopo principal fornecer subsídios para products/freeware.html.
elevar o nível de segurança dos ambientes
computacionais. Atualmente, esses programas Como soluções integradas (diversas ferramentas
incorporam as mais variadas tecnologias para proteger fazendo parte de um único produto) posso citar o
sistemas e redes de computadores de diversos tipos Symantec Client Security (http://www.symantec.com.br
e/ou naturezas de ataques. /region/br/enterprisesecurity/products/scs) que possui
antivírus, firewall e ferramenta de detecção de intrusão
Como exemplos de programas que possuem essa para estações de trabalho. Também, temos um outro
finalidade posso citar: os firewalls por software, os produto de solução integrada, o Norton Internet Security
antivírus e os softwares de criptografia. Esses 2003 (http://www.symantec.com.br/region/br/product/
programas são vendidos individualmente ou fazendo nis/nis_pe), que possui antivírus, firewall e outras
parte de um pacote integrado que possui como único ferramentas.
objetivo incorporar maior segurança a um
microcomputador ou a todo um ambiente de rede Todos esses softwares são apresentados em versões
corporativa. Vale lembrar a existência de firewall por para os mais diferentes tipos de sistemas operacionais
hardware, contudo neste artigo não falarei sobre o existentes no mercado. Corriqueiramente encontramos
mesmo, ficando para uma abordagem mais específica esses tipos de programas sendo vendidos,
do assunto. principalmente, para as duas maiores plataformas
utilizadas em todo o mundo: Windows e Linux (para
Como exemplo de software comercial que implementa suas diversas distribuições).
um firewall pessoal por software, posso citar o Norton
Personal Firewall 2003 (http://www.symantec.com.br A demanda por esses tipos de softwares derivou-se da
/region/br/product/nis/npf) e o McAfee Firewall 4.0 iminente ameaça de ataques de todos os meios e
(http://www.mcafee-at-home.com/products/firewall). A formas possíveis, imagináveis e inimagináveis, a
"desvantagem" desses dois produtos é que eles são sistemas de computação. Ameaças que se tornaram
pagos, contudo podemos encontrar, também, bons constantes atualmente devido a grande facilidade para
firewalls pessoais por software gratuitos, um deles é o se obter informações e até programas já prontos e
Tiny Personal Firewall desenvolvido pela Tiny Software configurados para uso, que possuem como único
do Brasil. Você pode obter maiores informações sobre objetivo efetuar algum tipo de ataque, seja apenas para
esse firewall e efetuar o download dele no endereço: realizar uma "varredura" em uma rede ou até para
http://www.tinysoftware.com.br/pwall.asp. provocar uma Negação de Serviço – DoS (Denial-of-
Service) em algum servidor.
Em relação aos softwares antivírus podemos encontrar
dezenas de produtos. Um dos mais conhecidos e
Evidência Digital - 41
Diversos softwares ou hardwares introduzem de várias Em pouco tempo, você já possuirá todas as informações
formas, maneiras de bloquear o acesso a certos necessárias para que de alguma forma possa mais
recursos disponíveis numa rede, seja uma estação de facilmente "invadir" a sua própria empresa. Uma
trabalho, um servidor ou algum equipamento de rede, tal informação pertinente a ser feita nesse instante é que
como, firewall, roteador, switch, hub, etc., que só pode e na realidade você estará realizando um tipo de ataque
que só deve ser acessado por usuários autorizados. muito comum a sua empresa. Inofensivo? Não, e muito
eficaz. Esse método de obtenção de informações é
Nesse contexto, o profissional de segurança tem como denominada engenharia social, e é utilizada pelos
uma de suas atribuições principais estar maiores "hackers" do mundo.
constantemente se atualizando e estudando novos
programas e equipamentos para proteger uma rede. Quando disse informações necessárias não estou me
Deve, também, preocupar-se com todo o perímetro que referindo a senha do usuário "Administrator" no
cerca um Centro de Processamento de Dados (CPD) - Microsoft Windows NT ou 2000, ou a senha de "root" de
quando falo em perímetro estou me referindo ao uma distribuição Linux, estou apenas me referindo a
ambiente físico que o cerca - pois é nesse ambiente que obter informações básicas como: qual o sistema
se localizam os equipamentos e as informações mais operacional que roda em determinada máquina e quais
importantes de uma instituição. Todavia a sua maior serviços e versões dos mesmos que estão sendo
preocupação deve ser com um dos maiores ativos de executados. Com a posse destas informações, que a
uma empresa, as informações. princípio pode parecer inofensivas, já será possível
efetuar algumas tentativas de ataque.
Verificando os jornais, as revistas e os diversos
programas de rádio e televisão observamos várias Em pouco tempo, todas as rotinas e procedimentos que
notícias sobre "roubos digitais", pessoas sendo são especificados na política de segurança adotada pela
acusadas de tais roubos e até sendo presas por tais sua empresa serão do seu conhecimento. Creio que ele
atitudes. No nosso país, dificilmente alguém é detido por deva lhe explicar tudo sem omitir nenhum detalhe,
cometer algum tipo de crime digital, contudo, nos duvido que neste momento, você não esteja, também,
Estados Unidos e em alguns países da Europa, várias acreditando que a rede da sua empresa, realmente, é
leis foram publicadas com o objetivo de punir esse tipo altamente segura contra qualquer tipo de ataque.
de ato.
Bem... se você está convencido que realmente a rede
Nesse momento, acredito que você leitor, que deve ser da sua empresa é muito segura visto o que foi exposto
um interessado sobre segurança das informações de pelo seu colega de trabalho, vocês estão
uma maneira ampla, deva estar começando a entender completamente enganados. Pois, neste momento, você
a mensagem que aqui transmito. teve acesso a informações e aos lugares onde nenhuma
pessoa, com exceção dos profissionais
Agora, é a hora de você dirigir-se até de Tecnologia da Informação (TI) que
o CPD da sua empresa e pedir para trabalham diretamente com os
aquele seu colega de trabalho a equipamentos que estão instalados no
vários anos, para mostrar-lhe como a CPD, deveriam ter acesso.
empresa de vocês está preparada
efetivamente se, por incontingências Se você for um usuário com um mínimo
do acaso, ocorrer alguma tentativa de de conhecimento em informática, mais
ataque. especificamente na área de redes de
computadores, sendo possuidor de tais
Você deve demonstrar que este seu informações e tiver acesso físico ao CPD
súbito interesse iniciou-se a partir do a probabilidade de você conseguir
momento que assistiu, recentemente, uma notícia a "hackear" de alguma forma a sua própria empresa será
esse respeito nos meios de comunicação. Aposto, que bem maior, seja na busca de alguma informação
ele com todo orgulho mostrará tudo para você. Falará confidencial, ou mesmo, com o intuito de prejudicar a
que a empresa de vocês possui diversos equipamentos sua empresa "derrubando" alguns servidores.
e softwares que implementam e aumentam a segurança
da corporação. Ele mostrar-lhe-á o firewall, os E pior ainda seria se em vez de efetuarmos algum tipo
roteadores, servidores de arquivos, servidores de banco de ataque para prejudicar diretamente sua empresa,
de dados, servidor web, etc. utilizarmos ela como ponte para efetuarmos um ataque
a uma outra corporação.
Provavelmente ele não lhe falará apenas do aspecto
lógico da segurança desse ambiente, mas também, Imagine, também, o presidente dos Estados Unidos da
comentará da segurança física. Mostrará para você os América, George W. Bush que pode ser contatado pelo
sistemas contra incêndios, os sensores de presença e e-mail: president@whitehouse.gov.br recebendo um e-
movimento, os alarmes infravermelhos, a leitora de mail de um "funcionário da sua empresa" que não
cartão magnético que autentica o administrador da rede existe, relatando que vai enviar uma bomba para a Casa
a entrar no CPD, etc. Todas as informações que você Branca. O que aconteceria com a sua empresa? O que
pedir, ele não lhe negará, pior ainda, ele falará mais do aconteceria com o administrador da rede da sua rede?
que você perguntou, pois acredita não ter nada de mais,
contar isso para você, o "grande amigo de trabalho"
dele.
Evidência Digital - 42
Note que não são apenas os profissionais de TI
especializados em segurança que devem se preocupar
com ela, na verdade, todos os profissionais de uma
empresa, sem distinção de cargo, devem estar
preocupados com o cumprimento da política de
segurança adotada pela empresa, desta forma todos os
processos informatizados realizados nela, ficarão o
menos vulnerável possível.
:: Leonardo Cunha
:: professor@leonardocunha.com.br
:: Analista de Sistemas da Prefeitura da Cidade do Rio de Janeiro e
Professor de Informática da Fundação de Apoio a Escola Técnica do
Estado do Rio de Janeiro (FAETEC) e da Universidade Estácio de
Sá. Mestrando em Informática, pós-graduado em Análise, Projeto e
Gerência de Sistemas, Tecnologia e Segurança de Banco de Dados
e em Tecnologia e Segurança de Redes de Computadores.
Evidência Digital - 43
Moacir T. M. Jr. e Fred H. L. Silva
Funcionamento de uma
Ferramenta de Negação de
Serviço Distribuído
Para melhor entender o estudo de caso que se segue, será necessário conhecer um pouco da arquitetura do ataque.
Abaixo segue uma breve descrição:
Arquitetura do ataque
Atacante Atacante
telnet telnet
... ...
... ...
... ...
Vítima Vítima
Figura 01: Atacante envia parâmetros ao master que comanda os daemons no ataque às vítimas.
• Atacante: Comanda, e monta a rede de ataque. Utiliza apenas o Telnet para conectar no Master através de
uma porta aberta pelo Programa Client. Ex: telnet [IP do Master] [porta]
• Master: Recebe as ordens do Atacante e comanda os Agentes. Tem um programa residente (Programa Client)
instalado pelo Atacante.
• Agente: Máquinas que, de fato, executam o ataque DDoS. Tem um Programa Daemon que é responsável por
receber as ordens do Master e por em prática.
• Vítima: São máquinas ou redes que são o alvo do ataque, e recebem um grande volume de pacotes, que
ocasionam paralização dos serviços.
São três as fases do ataque. A primeira é tomar o controle das máquinas, que serão usadas como Agentes e Masters.
Na segunda é feita a instalação dos Programas Clients e Daemons. Já na terceira, é lançado um flood de pacotes sobre
a(s) vítima(s).
Existem várias ferramentas na internet destinadas a ataques distribuídos, como TFN, Stacheldraht, TFN2K. Abaixo
segue uma descrição e um estudo da principal delas (Trinoo). Porém vale lembrar que pequenas modificações no
código fonte podem causar mudanças de certas propriedades das ferramentas, tais como: portas de operação, senhas
de acesso e controle, nome dos comandos, etc. Ou seja, a personalização da ferramenta é razoavelmente fácil.
Evidência Digital - 44
Trinoo novamente na máquina para reiniciar o serviço. Por isso
geralmente quando se instala uma rede Trinoo, o
Esta ferramenta é utilizada para organizar ataques atacante tende a colocar algum script para que o
distribuídos, ataques do tipo UDP flood. O controle do daemon ou master seja sempre inicializado sem
client instalado no Master é feito através de uma porta nenhuma interferência. Mas isso facilita a detecção por
TCP que é acessada por telnet. Já a comunicação entre parte do administrador. Uma informação importante é
o client e o daemon é feita através de pacotes UDP. que tanto o programa client, que roda no Master, quanto
Quando um daemon é inicializado ele envia uma o daemon que roda no Agente, podem ser inicializados
mensagem ao Master, para que ele o coloque na lista sem privilégios de superusuário (root).
de IPs que ele possui. Em contrapartida os daemons
devem ser compilados já com os endereços IP dos seus O código fonte está disponível em vários sites, mas para
futuros Masters. realização destes testes foi adquirido no site
PacketStorm “http://packetstormsecurity.nl/distributed/
Um fator que exige certo trabalho por parte do atacante trinoo.tgz”. Configurado em Linux RedHat 8.0, e a
é que toda vez que a máquina que possuí o master ou o documentação utilizada como base foi a de Dave
daemon rodando é reiniciada, ele precisa entrar Dittrich “http://staff.washington.edu/dittrich/misc/ddos/”.
Instalação e configuração
Geralmente a ferramenta é encontrada compactada com o nome “Trinoo.tgz”. Depois de fazer o download do arquivo, é
necessário descompactá-lo. Com isso será criado o diretório “trinoo” e dois subdiretórios “master” e “daemon”. Após
descompactar, abra o arquivo “ns.c” do diretório “daemon” e localize a linha em que consta os IPs dos Masters que vão
comandar os daemons, retire os IPs que vem como padrão e adicione os que você deseja que sejam os Masters e salve
o código.
char *master[] = {
"129.237.122.40",
"207.228.116.19",
"209.74.175.130",
NULL
};
Figura 02: Trecho do código do daemon, onde são definidos os IPs dos masters.
Para a compilação correta do Trinoo, deve-se verificar se existem todas as bibliotecas (libraries) solicitadas no código
fonte. Caso não tenha alguma delas, será necessário privilégio de superusuário para fazer a instalação e configuração
das mesmas.
“master.c” “ns.c”
Evidência Digital - 45
Compilação
Para o processo de compilação da ferramenta pode-se executar o seu compilador C do próprio Linux. Feita através do
utilitário “MAKE”, que geralmente só é encontrado no diretório “master”, ele deve ser adaptado para compilar o arquivo
“ns.c” e copiado para o diretório “daemon”, assim como o arquivo “blowfish.c” que é usado para a criptografia.
Como não é necessário adaptar o arquivo para compilar o “master.c” que será o client, simplesmente execute o
comando “make master” que será criado um arquivo binário de mesmo nome. O próximo passo é a compilação do
arquivo “ns.c” que é destinado a ser o deamon, execute o mesmo comando “make ns”. Para ele também será criado um
arquivo com o mesmo nome. O processo de compilação está completo.
Após compilado, é necessário iniciar os serviços master e daemon, é através desses serviços que é viabilizada a
comunicação, eles são uma espécie de backdoor que precisam estar ativos para que se possa efetuar uma conexão.
Para inicializar o “master” entre em seu diretório e execute-o, uma senha será solicitada, por padrão a senha é “gOrave”.
Para inicializar o “daemon” entre em seu diretório e execute-o, como feito com o “master”. Caso deseje iniciar daemons
em outras máquinas, basta copiar o seu executável “ns” ou compilar o arquivo “ns.c” nessas máquinas.
Comunicação
A comunicação ocorre do atacante para o Master, e deste para o Agente (conhecido no código fonte como “bcast”). Um
atacante controla um ou mais Masters, que controlam um ou mais Agentes cada.
Como já mencionado antes, o programa daemon fica sabendo o endereço dos Masters obrigatoriamente antes da
compilação. Já os Masters são capazes de manter uma lista dinâmica dos IPs dos programas daemons que estão on-
line. Isso é possível devido a toda vez que um daemon é iniciado, ele manda um aviso para todos os Masters que tem o
IP em seu código. Para isso é criado pelo próprio Master um arquivo escondido geralmente chamado “. . .” (três pontos)
para armazenar os IPs dos daemons ativos.
Evidência Digital - 46
Atacante para Master(s): 27665/TCP
Master para Agente(s): 27444/UDP
Agente para Master(s): 32335/UDP
Como se pode ver na figura 01, o atacante conecta primeiro no Master através de uma conexão telnet para IP e porta do
mesmo. É solicitada uma senha, que por padrão é “betaalmostdone”.
Ataques e resultados
Agora que toda a rede está montada, e o atacante já está conectado por telnet no master, basta apenas um comando
para que seja iniciado o ataque.
Abaixo podemos ver o comando “bcast” que faz com que o master mostre os daemons que estão ativos. Neste caso
temos apenas um, que é o 200.20.157.250. Logo depois é dado o último comando do ciclo de vida do ataque, “dos
200.214.218.30”, que faz com que os daemons lancem um ataque contra o IP indicado.
Evidência Digital - 47
Ao lado vemos a tela de um utilitário nativo do Linux
Red Hat 8, que captura o trafego da placa de modem do
daemon, onde podemos notar o grande número de
pacotes UDP lançados pela nossa ordem de ataque.
Veja se em algum momento, do ponto de vista da vítima, é possível identificar o master, ou até mesmo o atacante. É
realmente impossível, pois só são visíveis através de logs as comunicações feitas diretamente com o computador no
qual se está monitorando. Por isso os ataques DDoS são os mais difíceis de serem rastreados.
Evidência Digital - 48
Rodrigo Ramos
Cenário Proposto I
Segue abaixo um pequeno cenário proposto pelo time da Triforsec que utiliza várias ferramentas de segurança que
atuam em diferentes camadas da rede. Para facilitar a compreensão temos, logo abaixo da figura, um pequeno texto
que descreve como cada ferramenta atua no cenário proposto.
Evidência Digital - 49
Através da tabela de estados, o IPTables, assim como É muito importante ter nesta máquina ferramentas que
outros Statefulls firewalls, consegue manter o controle geram informações sobre o link, como MRTG
/acompanhamento sobre todos os pacotes que estão (http://people.ee.ethz.ch/~oetiker/webtools/mrtg/) e o
passando por ele. Esse acompanhamento permite, por NTOP (http://www.ntop.org/). O Multi Router Traffic
exemplo, que o IPTables saiba quando um pacote está Grapher (MRTG) é uma ferramenta que monitora o
chegando em resposta a uma solicitação que acabou de tráfego no link da rede e gera relatórios em html de
sair da rede. forma dinâmica, em tempo real. O NTOP permite que
você monitore facilmente os protocolos da LAN e gere
O Snort, que está instalado nesta máquina, precisa ter relatórios sobre a utilização dos mesmos. Dependendo
suas regras e os pré-processadores muito bem do objetivo estas ferramentas também podem ser
customizados. Só devem ser utilizadas as regras que instaladas no segundo firewall.
realmente monitorem o ambiente que você possui. A
mesma coisa para os pré-processadores. O trabalho
que ele executará é muito importante para a segurança, A Zona Desmilitarizada
pois o IDS implementa uma outra camada de
segurança, checando o cabeçalho e o payload do Por questão de segurança, o segmento DMZ que está
pacote procurando por um conteúdo anormal. Este conectado ao primeiro firewall, foi criado para separar os
conteúdo pode ser um comando para uma aplicação ou recursos que precisam ser acessados constantemente,
um código malicioso. Analisando o protocolo, ele a partir da Internet, dos recursos da rede interna. Não
consegue identificar problemas no comportamento de faz sentido ter o site da empresa hospedado em um
alguns protocolos e normaliza a comunicação, evitando servidor dentro da LAN. Nesta arquitetura, o
que pacotes montados fora do padrão de alguns comprometimento de um destes servidores não
protocolos consigam driblar a segurança. Os pré- necessariamente trariam problemas de intrusão à LAN.
processadores também são importantes porque eles
evitam que o engenho de detecção desperdice Para melhorar ainda mais a segurança, as máquinas
processamento checando um pacote que já está Linux da DMZ estão rodando sob um HIDS (Host
incorreto por natureza. Intrusion Detection System), o LIDS (http://www.lids.org)
(Linux Intrusion Detection System). Através desta
Utilizando o Integrator, pacote que faz parte do Defense ferramenta, nós melhoramos a segurança do servidor
Layer Central Console, é possível criar uma interação consideravelmente, definindo com alto nível de detalhes
entre o Snort e o IPTables e fazer com que certos a segurança do sistema operacional e de suas
eventos detectados pelo IDS reconfigurem o firewall aplicações. Através do LIDS é possível, por exemplo:
dinamicamente, bloqueando a origem do ataque por um
tempo pré-determinado. Através da utilização de • Redefinir os poderes do root dentro do sistema;
assinaturas e dos pré-processadores é possível, por • Ocultar processos do sistema, tanto para o root
exemplo: quanto para outros usuários;
• Detectar port scans;
• Identificar vírus, worms e cavalos de tróia; • Evitar vários tipos de subversão do sistema.
• Identificar quando um funcionário não autorizado
tenta acessar uma aplicação em um servidor; Para implementar mais uma camada de segurança
• Identificar port scans; instalamos o Clamav antivírus (http://www.clamav.net/)
• Identificar pacotes com payload, quando por para monitorar os arquivos dos servidores. Caso exista
padrão não deveriam ter; um servidor de correio, é interessante usar o Spam
• Identificar requisições formatadas de forma Assassin (http://spamassassin.apache.org/), um filtro de
anormal para uma aplicação; e-mail que pode ser usado para identificar e banir os
• Identificar problemas onde o firewall não veria. spams. Uma solução que vem nos ajudando bastante é
o MailGraph (http://people.ee.ethz.ch/~dws/software/
Alguns podem achar interessante deixar todas as regras mailgraph/), que gera relatórios muito interessante a
instaladas para detectar todo tipo de tráfego malicioso, partir dos logs do Postfix.
mas essa solução gera muitos falso-positivos,
consomem mais processamento da máquina, inunda os
relatórios e gera vários outros reflexos, que não serão O Segundo Firewall
tratados neste documento. Todo o trabalho de
gerenciamento e monitoramento deste sensor, assim Identificado na figura como B, ele é responsável por
como dos outros, é realizado remotamente a partir do implementar a política de acesso aos segmentos da
Defense Layer Central Console (DLCC), que será visto rede e fazer o roteamento entre as máquinas. Nele está
mais adiante. definido quem pode, por exemplo, sair do segmento das
estações de trabalho e alcançar um dos servidores
Existem algumas questões legais que precisam ser interno. Nesta mesma máquina podemos ter também
esclarecidas pela nossa legislação. Ferramentas uma ferramenta como o WARM (Web Acces Report
poderosas como o Snort, têm o poder de monitorar as Manager), que trabalha em conjunto com o Squid
comunicações e os arquivos de alguns programas de (http://www.squidcache.org), para gerenciar o acesso a
mensagem instantânea, como o MSN Messenger. Nós Web, por parte dos usuários da rede. Para obter
que trabalhamos executando o que nos é solicitado maiores informações sobre o WARM, visite
pelos clientes, precisamos tomar as devidas precauções http://www.triforsec.com.br/defenselayer/produtos/warm/
para estar acobertados legalmente.
Evidência Digital - 50
Esta arquitetura também diminui os índices de infecção, Os Servidores Internos
uma vez que se uma máquina for infectada e por sua
vez, ela não tiver permissão para acessar outra Por questões já citadas estes servidores estão
máquina, ela não conseguirá infecta-la. separados em um dos segmentos da rede. Estas
máquinas estão rodando com uma versão Open Source
É muito interessante ter a rede segmentada de acordo do Tripwire (http://www.tripwire.org). Resumidamente
com os objetivos dos grupos de pessoas dentro da rede. falando, o Tripwire bate uma radiografia do seu sistema,
Por exemplo, não é interessante que um funcionário com todos os seus arquivos e com isso ele consegue
temporário, que foi contratado para desenvolver uma detectar qualquer alteração nestes arquivos. Estas
aplicação específica, esteja no mesmo segmento que informações são extremamente importantes, não só
todas as outras pessoas e servidores, gozando do todos para detectar alterações no sistema, mas para auxiliar
os recursos que o diretor financeiro possui. os analistas na análise da máquina no “pós-sinistro”. Os
relatórios do Tripwire podem ser enviados por email e
isso é de grande ajuda. Para implementar mais uma
Os sensores IDS (Sistema de Detecção de Intrusão camada de segurança instalamos o Clamav antivírus
de Rede) (http://www.clamav.net/) nos servidores.
Evidência Digital - 51
Andrey R. Freitas
Links
: APCF
Associação Nacional dos Peritos Criminais Federais.
http://www.apcf.org.br
: JUS Navigandi
Temas jurídicos.
http://www.jus.com.br
: RNP - CAIS
RNP – Centro de Atendimento a Incidentes de Segurança.
http://www.rnp.br/cais
: Sam Spade
Pesquisas via Internet: Whois, DNS, Traceroute...
http://www.samspade.org/t
: Vogon
Computação forense, recuperação de dados e serviços de perícias.
http://www.vogon-computer-evidence.com
Evidência Digital - 52