Anti forense

1.038 visualizações

Publicada em

Indico isso para todos que estao aprendendo um pouco sobre forense isso pode auxiliar a aprender sobre as tecnicas anti forense que pra quem ta aprendendo forense tambem e muito importante.

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.038
No SlideShare
0
A partir de incorporações
0
Número de incorporações
54
Ações
Compartilhamentos
0
Downloads
42
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Anti forense

  1. 1. Classificações e técnicas de Tecnicas anti forense 1. Introdução 2. Classificações e técnicas de anti-forense 2.1. Ocultação de evidências 2.2. Encriptação 2.3. Esteganografia 3. Outras formas de ocultação de dados 3.1. Destruição de evidências 3.2. Utilitários de limpeza de disco 3.4. Utilitários de limpeza de arquivos 4. Técnicas de desmagnetização/destruição de disco 4.1. Falsificação de evidências 4.2. Eliminação das fontes de evidências 5. Ataques contra processos e ferramentas da forense computacional 6. Eficácia da anti-forense 7. Conclusão
  2. 2. Introduçao Segundo Rogers (2006), podemos definir o termo anti-forense como a tentativa de afetar negativamente a existência, quantidade e/ou qualidade de evidências de uma cena de crime, ou tornar a análise e o exame das evidências difícil ou impossível de se realizar. Recentemente, a utilização de técnicas de anti-forense computacional cada vez mais avançadas por criminosos têm desafiado diversas perícias e grande parte do problema se deve ao desconhecimento de tais técnicas. Portanto, o presente trabalho visa apresentar aos profissionais de forense computacional algumas das classificações e técnicas de anti-forense mais utilizadas, para que estes possam estar preparados para enfrentar este novo desafio durante suas perícias.
  3. 3. Classificações e técnicas de anti-forense Métodos anti-forense são categorizados para tornar a classificação das várias ferramentas e técnicas mais simples. Apesar das divergências entre as classificações adotadas por autores consagrados, como Harris (2006) e Rogers (2006), quatro destas são comuns a todos: Ocultação de evidências, Destruição de evidências, falsificação de evidências e a eliminação das fontes de evidências. Além destas, Rogers (2006) considera ainda os ataques contra os processos e ferramentas de forense computacional.
  4. 4. Ocultação de evidências Ocultação de evidências é o processo de tornar dados difíceis de serem encontrados e ao mesmo tempo mantê-los acessíveis para uso futuro. Algumas das formas mais comuns de ocultação de dados incluem criptografia e esteganografia. Cada um dos diferentes métodos de ocultação de dados dificulta exames forenses digitais e quando combinados eles podem tornar uma investigação forense quase impossível.
  5. 5. Encriptação Uma das técnicas mais utilizadas para desafiar a computação forense é a criptografia de dados. Isto porque através da utilização de algoritmos de criptografia modernos e devárias técnicas de criptografia, diversos programas disponíveis publicamente tornam os dados virtualmente impossíveis de serem lidos sem a chave designada, uma senha convencional escolhida a critério do usuário no momento do processo de encriptação.A maioria dos programas de criptografia tem a capacidade de executar uma série de funções adicionais que tornam esforços forenses digitais cada vez mais inúteis. Algumas dessas funções incluem a utilização de arquivos como chave criptográfica (keyfiles), a encriptação de volumes inteiros e a negação plausível. A ampla disponibilidade de softwares que contém estas funções colocou o campo da forense digital em uma grande desvantagem. Alguns exemplos de ferramentas de encriptação são o TrueCrypt e o BitLocker Drive Encryption.
  6. 6. Esteganografia Esteganografia é uma técnica onde a informação ou arquivos estão escondidos dentro de outro arquivo na tentativa de ocultar dados, deixando-os à vista de todos. A esteganografia produz dados obscuros, normalmente ocultados dentro de dados de visíveis (por exemplo, alguns caracteres de texto escondidos dentro de uma fotografia digital). Alguns especialistas argumentam que técnicas de esteganografia não são muito utilizadas e, portanto, não devem ser levadas muito a sério. Entretanto, a maioria dos especialistas concorda que a esteganografia tem a capacidade de interromper o processo forense quando usada corretamente.
  7. 7. Outras formas de ocultação de dados Outras formas de ocultação de dados envolve o uso de ferramentas e técnicas para ocultar dados em vários locais de um sistema computacional. Alguns desses lugares incluem a memória principal, diretórios ocultos, espaço de folga de arquivos (slack space), blocos de dados defeituosos, fluxos de dados alternativos, e partições ocultas. Uma das ferramentas mais conhecidas para esconder dados é chamada Slacker e faz parte da estrutura do Metasploit. O Slacker rompe um arquivo e coloca cada pedaço desse arquivo no espaço de folga de outros arquivos, escondendo-o, assim, dos softwares de análise forense. Outra técnica de ocultação de dados envolve o uso de setores defeituosos. Para realizar esta técnica, o usuário muda o estado de um setor específico de bom para defeituoso e, em seguida, copia os dados a serem ocultados para este setor. Assim, algumas ferramentas forenses enxergarão estes setores como defeituosos e prosseguirão o exame sem qualquer análise do seu conteúdo.
  8. 8. Destruição de evidências Os métodos usados na destruição de evidências são encarregados de eliminar permanentemente arquivos específicos ou sistemas de arquivos inteiros. Isto pode ser feito através da utilização de uma variedade de métodos que incluem o uso de utilitários de limpeza de disco, de arquivos e desmagnetização/destruição de discos.
  9. 9. Utilitários de limpeza de disco Utilitários de limpeza de disco usam uma variedade de métodos para substituir os dados existentes nos discos. A eficácia de ferramentas de limpeza de disco como técnica anti-forense é muitas vezes contestada, pois alguns acreditam que não são completamente eficazes. Utilitários de limpeza de disco também são criticados porque eles deixam sinais de que o sistema de arquivos foi apagado, o que em alguns casos é inaceitável. Como consequência, a política atualmente empregada pelo Departamento de Defesa dos Estados Unidos admite a desmagnetização como a única forma aceitável de sanitização. Alguns dos utilitários de limpeza de disco amplamente usados incluem o BCWipe Total Wipeout, o CyberScrubs cyberCide e o KillDisk.
  10. 10. Utilitários de limpeza de arquivos Utilitários de limpeza de arquivos são usados para excluir arquivos individuais a partir de um sistema operacional. A vantagem dos serviços de limpeza de arquivos é que eles podem realizar suas tarefas em um período relativamente curto de tempo, ao contrário de utilitários de limpeza de disco que levam muito mais tempo. Outra vantagem dos serviços de limpeza de arquivos é que eles geralmente deixam uma assinatura muito menor do que utilitários de limpeza de disco. Há duas desvantagens principais dos utilitários de limpeza de arquivo: primeiro, eles exigem o envolvimento do usuário no processo e, segundo, alguns especialistas acreditam que os programas de limpeza de arquivos nem sempre corretamente e completamente limpam informações do arquivo. Alguns dos utilitários de limpeza de arquivos mais utilizados incluem o AEVITA Wipe & Delete, o BCWipe e CyberScrubs PrivacySuite.
  11. 11. Técnicas de desmagnetização/destruição de disco Desmagnetização disco é um processo pelo qual um campo magnético é aplicado a um dispositivo de suporte digital. O resultado é um dispositivo completamente limpo de todos os dados armazenados anteriormente. A desmagnetização é raramente utilizada como um método de anti-forense, apesar de ser o meio mais eficaz para garantir que os dados tenham sido completamente apagados. Isto é atribuído ao custo elevado das máquinas de desmagnetização. Uma técnica mais utilizada para garantir a limpeza de dados é a destruição física do dispositivo. O NIST recomenda que "a destruição física pode ser realizada utilizando uma variedade de métodos, incluindo a desintegração, a incineração, pulverização, trituração e fusão".
  12. 12. Falsificação de evidências O objetivo da falsificação de evidências é confundir, desorientar e desviar o processo de análise forense. A falsificação pode comprometer desde apenas um bit até certa quantidade de bits contidos em um disco, com o intuito de parecer qualquer outra coisa, menos a evidência real (Harris, 2006). O ofuscamento de rastros abrange uma variedade de técnicas e ferramentas que incluem limpadores de logs, spoofing, desinformação, uso de contas zumbis e comandos de trojan.
  13. 13. Eliminação das fontes de evidências Segundo Harris (2006), trata-se do uso de métodos que impeçam que evidências sejam criadas. Fazendo uma alusão aos crimes da forense tradicional, é similar a utilizar luvas para não deixar impressões digitais ou embrulhar a arma numa sacola plástica para impedir que a pólvora do tiro se espalhe pela cena do crime. Assim, no mundo virtual podem ser utilizados programas e sistemas operacionais através de memórias portáties, como CDs e pen drives, fazendo com que sejam geradas poucas ou até nenhuma evidência no disco local.
  14. 14. Ataques contra processos e ferramentas da forense computacional A anti-forense recentemente mudou um pouco sua estratégia, de modo que as ferramentas e técnicas estão focadas em atacar não somente as evidências, mas també mas ferramentas e procedimentos forenses adotados na realização dos exames. Estes novos métodos anti-forenses têm beneficiado de uma série de fatores que inclue mprocedimentos bem documentados dos exames forenses, vulnerabilidades de ferramentas forenses amplamente conhecidas e a forte dependência de examinadores forenses digitais em suas ferramentas. Durante um típico exame forense, o examinador iria criar uma imagem de disco do computador. Isso impede que o computador original (evidência) seja contaminado por ferramentas forenses. Então, Hashes são criados pelo software de exame forense para verificar a integridade da imagem. Uma das últimas técnicas anti-ferramenta visa atacar a integridade dos hashes criados.
  15. 15. Ao afetar a integridade do hash, qualquer evidência coletada durante a investigação pode ser contestada posteriormente. O uso do recurso de detecção de intrusão de chassis, no caso de computador ou um sensor (como um fotodetector) cheio de explosivos para a autodestruição, também é outro exemplo de como a anti-forense pode se privilegiar do conhecimento dos procedimentos forenses para invalidar uma investigação.
  16. 16. Eficácia da anti-forense Métodos anti-forenses dependem de várias deficiências no processo forense, incluindo: o elemento humano, a dependência de ferramentas e as limitações físicas/lógicas de computadores. Ao reduzir a suscetibilidade do processo forense para estas fraquezas, o examinador pode reduzir a probabilidade de métodos anti-forenses impactarem numa investigação. Isto pode ser alcançado através de uma maior formação para os investigadores e com a comparação dos resultados obtidos de diversas ferramentas para uma mesma análise.
  17. 17. Conclusão Do mesmo modo que os criminosos se aproveitaram de um vasto conhecimento sobre os procedimentos e as ferramentas comumente empregados na forense computacional, é importante que se conheçam as ferramentas e os métodos utilizados pelos criminosos na tentativa de afetar a análise pericial para então combatê-los. Assim, o presente artigo atingiu o seu objetivo no sentido de alertar profissionais da forense computacional para mais esse desafio que certamente surgirá em suas perícias: a anti-forense computacional.
  18. 18. Referências Harris, Ryan. Arriving at an anti-forensics consensus: Examining how to define and control the anti-forense problem. Disponível em: <http://www.dfrws.org/2006/ proceedings/6-Harris.pdf>. Acesso em: 10 jun. 2013. Rogers, M. Panel session at CERIAS 2006 Information Security Symposium. Disponível em: <http://www.cerias.purdue.edu/symposium/2006/materials/pdfs/ antiforensics.pdf>. Acesso em: 10 jun. 2013. Autor: Henrique Alexandre Torres

×