Documente Academic
Documente Profesional
Documente Cultură
umarpidaviso introdutria
Natal,RN,23deoutubrode2010
JooEribertoMotaFilho
Eribertoout.10
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Oqueforensecomputacional?
Forensecomputacionalacinciavoltadaparaa obteno,preservaoedocumentaodeevidn cias,apartirdedispositivosdearmazenagemele trnicadigital,comocomputadores,pagers,PDAs, cmerasdigitais,telefonescelularesevriosoutros dispositivosdearmazenamentoemmemria.Tudo deverserfeitoparapreservarovalorcomproba triodasevidnciaseparaassegurarqueistopossa serutilizadoemprocedimentoslegais.
(An introduction to Computer Forensics, Information Security and Forensics Society, abr. 04, disponvel em http://www.isfs.org.hk/publications/public.htm)
Eribertoout.10
Oqueforensecomputacional?
Ento... Aforensecomputacionalbusca,emdispositivosde armazenamento,evidnciasdeaesincompatveis, danosasoucriminosas. Taisaespodemserlocaisouremotas(viarede). Geralmente,ascitadasaesestorelacionadasaroubode informaes,fraudes,pedofilia,defacements,intrusese crimescibernticosemgeral.
Eribertoout.10
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Ataquesviarede:oquefazer?
Emumrazovelnmerodevezes,forensessoconduzidas emvirtudedeataquesremotos(viarede). Apsumataqueremoto:
>Desconecte,imediatamente,ocaboderede. >NUNCAdesligueamquina(considerandoqueoatacanteno otenhafeitoremotamente). >Notoquenamquina(nemmesmofaalogin). >Chame,imediatamente,umperitopararealizaraforense. >Acompanhe,sepossvel,todootrabalhodoperito.
Eribertoout.10
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Medidasiniciaisnasforenses
Aotomaroprimeirocontatocomamquinaatacada,casoa mesmaaindaestejaligada,operitodever: InserirumpendriveouHDexternomaiordoquea quantidadedeRAMdamquinaparacolherdados. LogarcomorootemontarodispositivoUSB(/mnt?). Gravarnodispositivoexternoosseguintesdados:
>Umdumpdememria,com#ddif=/dev/fmem of=/mnt/memoria.dd(estatemqueseraprimeiraaousar fmem,doprojetoforiana,emkernelsmaisrecentes). >Usurioslogados,com#w>/mnt/w. >Ohistricodecomandos,com#history>/mnt/history. >Asituaodememria,com#freem>/mnt/free. continua... Eribertoout.10
Medidasiniciaisnasforenses
continuando... >Osprocessosativos,com#psaux>/mnt/ps. >Ospossveisprocessosocultos,com#unhide[proc/sys/brute] >/mnt/unhide.[proc/sys/brute]. >AspossveisportasTCP/UDPocultas,com#unhidetcp> /mnt/unhide.tcp. >Otempodevidadamquina,com#uptime>/mnt/uptime. >Asconexeseportasabertas,com#netstattunap> /mnt/netstat. >Arelaodepacotesinstalados.NoDebianederivados,pode seusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHat hocomando#rpmqa>/mnt/pacotes. continua... Eribertoout.10
Medidasiniciaisnasforenses
continuando... >Dataehoradamquina,com#date>/mnt/date.Anotea horadoseurelgionestemomento,paraumacomparao futura.Adefasagemencontradadeverconstarnolaudo. >Utilizaodediscos,com#dfhT>/mnt/df >Osdetalhessobredispositivosmontados,com#mount> /mnt/mount. >Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk. >Okernelutilizado,com#unamea>/mnt/uname. >Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig. >Asrotasderede,com#routen>/mnt/route. continua... Eribertoout.10
Medidasiniciaisnasforenses
continuando... >Osmdulosdekernelcarregados,com#lsmod> /mnt/lsmod.
Eribertoout.10
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Criaodaimagemdamdiaatacada
Todootrabalhodeforensedeverserrealizadoemuma cpiadamdiaatacada(imagem). Paracriaraimagem: AdicionarumHDdecapacidademaiordoqueoda mquinaatacada. InicializaramquinaatacadacomumliveCDvoltadopara forenseoupendrivecomLinux.CUIDADO!LiveCDsno apropriadosusamreasdeswapencontradasnodiscoe montammdiasautomaticamente. MontarapenasapartiodoHDadicional(aqueir receberasimagens). CriarumaimagemdoHDcomprometido,porinteiro,no novoHD.
Eribertoout.10
Criaodaimagemdamdiaatacada
ApsacriaodaimagemdoHD,calculardoishashesde taisimagens(pelomenosumdeverserSHA2). Todooprocessodeaberturafsicadamquina comprometida,criaodaimagemeclculodoshashes deverseracompanhadoporduastestemunhas. Aofinaldaoperao,deversergeradoumcertificadode integridade,contendoadata,onomeeoCPFdoperito,das testemunhas,onmerodesriedoHDeoshashesobtidos. Todosdeveroassinarocertificado,queserumdos anexosaolaudopericial. OHDoriginaldeverserlacradonapresenadetodose entregueparaautoridadecompetente.Onmerodoslacres deverconstarnolaudo(ounocertificadodeintegridade).
Eribertoout.10
Criaodaimagemdamdiaatacada
Mdiasdanificadas(HD,pendrive,CDROM)poderotero seucontedoparcialcopiadocomocomandodd_rescue. Issoirgerarumfragmentoauditvelcomferramentas especiais. muitoimportantepreservaraomximoaimagem original.Umaideiatrabalhartodootempoemumacpia damesma.
Eribertoout.10
Criaodaimagemdamdiaatacada
Exemplodecriaodeimagens: HDcomprometido:/dev/sda. 2HD:possuiumanicapartio,a/dev/sdb1. Criaodasimagens(/dev/sdb1montadoem/mnt):
#ddif=/dev/sdaof=/mnt/sda.dd
Eribertoout.10
Criaodaimagemdamdiaatacada
Comparativo(usandocomobaseumpendrivede2GBem umnetbookAtom):
*dd+md5sum+sha256sum=7min23seg(sodd:5'03''). *dcfldd,calculandooshashes=5min04seg.
Exemplodesadaemtela:
Eribertoout.10
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Utilizaodaimagemdamdiaatacada
Osarquivosdeimagens(completooudasparties) poderoseranalisadosdiretamenteoumontadosemoutra mquina(somenteasparties,excetoseforswap). Asimagensdaspartiesdeverosermontadascomoloop (porserarquivo)ereadonly(paranoalterarocontedo). Exemplos:
#mountoloop,rosda1.img/forense ou #mountoloop,ro,offset=32256sda.img/forense
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Oquebuscarnaanlise
Inicieaforenseouvindoosfatosparatentardeduziralgo relevantequeleveseleodeumpontoinicial.Exemplo: emdefacements,comearpelaanlisedo/var/www. Analiseoslogs. Analiseamemria,oswapeosdiretrios/tmpe/var/tmp. Analiseodiretrio/home. Analiseodiretrio/etc. Procureporrastrosdoseuoponente. Busqueporrootkitsebackdoors. Verifiqueseosistemaoperacionalestavaatualizado. Busquesenhasearquivosdentrodaimagemdamemria.
Eribertoout.10
Oquebuscarnaanlise
Busque,emimagens,porarquivosrelevantesapagados, combaseempalavraschave. ArquivosdeMSOfficeeBrOffice.Orgsuspeitosdevemser analisadosprofundamente.Comecepelaspropriedadesdos mesmos.TambmvlidoparaPDFs. FigurasJPGpossuemdadosEXIF.Issoimportante!Analise tambmaspropriedadesdequalquerfigura. Figuraspodemconteresteganografia.Arquivospodemestar criptografados.Vocpoderdescobrirsenhaspor engenhariasocialouanlisedememria! Sejainteligente,criativoeperseverante.Tenhaavontade devenceroseuoponente!
Eribertoout.10
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Algunscomandoseferramentas
Instaleosleuthkit(noDebian,#aptgetinstallsleuthkit; paravercomandos:#dpkgLsleuthkit|grep/usr/bin). Useeabusede#lslua,#lsltae#stat<arquivo>. Garimpeimagensearquivoscomstrings+grep.O comandostrings,noDebian,estnopacotebinutils. Procureporrootkitscomchkrootkiterkhunter.Exemplos:
#chkrootkitr/forense #rkhunterupdate;rkhuntercr/forense
Procureporwormscomoclamscan(#aptgetinstall clamav).Exemplo:
#freshclam;clamscanr/forense Eribertoout.10
Algunscomandoseferramentas
Utilizeocomandofindparaprocurarporarquivoscriados oumodificadosnosltimos2dias.Exemplo:
#find/forense/mtime2print
Utilizefls+icatpararecuperararquivosapagadosem filesystems.Exemplo:
#flsFdro63sda.img #icato63sda.img75>teste.jpg
Eribertoout.10
Algunscomandoseferramentas
Utilizehexdumpehexeditparaacessarcontedos, exibindoosemhexadecimalouASCII(mesmoem fragmentos).ParaASCIIpuro,utilizeomcview. Utilizeosprogramasgwenview,pornviewegimpparaabrir imagens,inclusivedanificadas. Paraverdadosexif,utilizemetacam. Utilizeocomandofileparavercaractersticasdeimagens dedispositivos,fotos,documentosdoofficeeexecutveis. okular(KDE)eevince(Gnome)podemserutilizadospara vercontedosdiversos.
Eribertoout.10
Algunscomandoseferramentas
Utilizeooofficeparaabrireinvestigardocumentosdotipo office. Estudemuito!!!(aptcachesearchforensic). DEMONSTRAO.
Eribertoout.10
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Laudodapercia
Nohummodeloespecficoparalaudoourelatriode forense.difcilencontrarummodelonaInternet. Algunsdadosinteressantesparaacomposiodolaudo:
>Dadospessoaisdoperito. >Perododarealizaodaforense. >Breverelatodoocorrido(notciasiniciais). >Dadosgeraissobreamquinae/ousistemaatacado(nomeda mquina,portasabertas,partiesexistentesetc). >Detalhamentodosprocedimentosrealizados. >Dadosefatosrelevantesencontrados. >Conclusoerecomendaes. >Apndiceseanexos.(incluircertificadodeintegridade) Eribertoout.10
Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso
Eribertoout.10
Concluso
Aperciaforensebuscaencontrardadosrelevantes,em meiosdearmazenagemdigital,comointuitodelevantar provassobreumfato(geralmenteumcrimedigital). Umperitoforensedeveconhecerprofundamenteosistema operacionalqueeleirinvestigar.Casonooconhea, podersolicitarumauxiliartcnico. Aastciaeacriatividadesoessenciaisemqualquer investigao.Tenhaavontadedevenceroseuoponente.
Estapalestraestdisponvelem http://www.eriberto.pro.br/forense
Sigameemhttp://twitter.com/eribertomota
Eribertoout.10