1) O documento discute análise forense computacional, incluindo definições, objetivos, casos conhecidos e desafios da área.
2) As etapas do processo investigativo são descritas, como aquisição, preservação, identificação, extração e análise de evidências digitais.
3) Vários tipos de mídias e sistemas de arquivos são explicados, assim como a importância da coleta e duplicação de evidências digitais de forma a preservar a cadeia de custódia.
6. Primeiro Caso Noticiado (Minneapolis Tribune, 18 de outubro de 1966): "PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO" >> Breve Histórico
7. Introdução “ Coleta e análise de dados de maneira não tendenciosa e o mais livre de distorção possível, para reconstruir dados ou o que aconteceu no passado em um sistema” (Dan Farmer e Wietse Venema – Computer Forensics Analysis Class Handouts) “ A aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade” (Manual de Patologia Forense do Colégio de Patologistas Americanos) >> Definição
26. Processo Investigativo • Análise de dados e sistemas apenas com autorização do responsável ou ordem judicial • Restrição na área de busca para não violar a privacidade de inocentes • Aderência com a Política de Segurança local >> Metodologia
28. Processo Investigativo • Inexistência de Normas e Leis • Cooperação internacional • Aumento do número de crimes cibernéticos • Aumento na capacidade de armazenamento • Novas técnicas (criptografia/anti-forense) >> Desafios
29. Processo Investigativo • Quais procedimentos e/ou ferramentas podem ser utilizados legalmente? • Obrigações dos provedores e usuários • Logs de acesso e dados cadastrais (Cyber-cafés e Lan-Houses) >> Aspectos Legais
30. Processo Investigativo • Na falta de regulamentação específica, é feito um paralelo com métodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrônica • É fundamental ao perito a compreensão do Código de Processo Penal - "Capítulo II - Do Exame do Corpo de Delito, e das Perícias em Geral”. >> Aspectos Legais
31. Processo Investigativo • Artigo 170: "Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas“. • Artigo 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado". >> Aspectos Legais
32. Processo Investigativo • Exemplo de adaptação das normas da perícia convencional (Código de Processo Penal): – “ ...os peritos guardarão material suficiente para a eventualidade de nova perícia...” (do Código de Processo Penal - Artigo 170) – Entende-se que deve-se fazer cópias com assinaturas digitais para análise futura. >> Aspectos Legais
35. Processo Investigativo Aquisição - O que Coletar? • Mídias: Hds, pendrives, cds, dvds... • Dados em memória: “Live Forensics” • Dados trafegando pela rede • Dispositivos não convencionais: Câmeras digitais, óculos/relógios/pulseiras >> Tratamento de Evidências
36. Processo Investigativo Interfaces externas auxiliam no processo de aquisição: Exemplo: IDE/SATA para USB >> Tratamento de Evidências
37. Processo Investigativo É recomendado o uso de bloqueadores de escrita ( “Write Blockers” ) para aquisição a partir das mídias originais. >> Tratamento de Evidências
38. Processo Investigativo Estão disponíveis no mercado Maletas com kits otimizados para aquisição de dados de várias mídias. >> Tratamento de Evidências
39. Processo Investigativo Aquisição Remota • Mídias muito grandes e/ou equipamentos de coleta limitados (ou inexistentes) • Uso da rede para envio de dados • Estação pericial remota • Essencial o uso de Criptografia • Principal Dificuldade: Atestar integridade dos dados >> Tratamento de Evidências
44. Processo Investigativo Preservação • A alteração de dados pode ser comparada a alteração da cena de um crime no mundo real. • Impedir alteração da mídia original antes e durante os procedimentos de aquisição • Assinaturas hash são utilizadas para garantir a integridade dos dados coletados >> Tratamento de Evidências
45. Processo Investigativo Identificação – Cadeia de Custódia • Todo o material coletado para análise deve ser detalhadamente relacionado em um documento (Cadeia de Custódia) >> Tratamento de Evidências
46. Processo Investigativo Extração/Recuperação • Extração é o processo de retirar as informações disponíveis das mídias • Recuperação é o processo de buscar dados removidos total ou parcialmente, propositalmente ou não. • Em alguns casos a manipulação dos dados poderá ser feita por um perito contratado por advogados que contestaram os laudos >> Tratamento de Evidências
47. Processo Investigativo Análise • Extração de Informações a partir dos dados coletados • Geralmente iniciada pela criação da linha do tempo de atividades >> Tratamento de Evidências
57. Mídias e Sistemas de Arquivos Dispositivo mais utilizado para armazenamento de dados Dados gravados em “trilhas” e “setores” de forma magnética Principais Componentes: • Cylinder • Head • Platter >> Discos Rígidos (HDs)
58. Mídias e Sistemas de Arquivos Memória flash do tipo NAND com interface USB Vantagens: • Menor e mais leve • Regravável • Rápido e com alto poder de armazenamento • Não requer fonte externa de energia Principais usos: • Dados Pessoais • Aplicações e Sistemas Operacionais • Players de audio e vídeo >> Memórias Flash
59.
60. Mídias e Sistemas de Arquivos Sistemas de arquivos para Linux: • EXT • EXT2 • EXT3 • EXT4 • ReiserFS • XFS • ZFS >> Particionamento e Abstrações
61. Mídias e Sistemas de Arquivos Sistemas de arquivos para Windows: • FAT • FAT32 • NTFS >> Particionamento e Abstrações
62. Mídias e Sistemas de Arquivos • ISO 9660 (International Organization for Standardization) • Sistema de arquivos para CDs e DVDs • Compatibilidade com diversos sistemas operacionais: Microsoft Windows, Mac OS, e UNIX-like >> Particionamento e Abstrações
69. Dados, Informações e Evidências • Aquisição de uma imagem de um HD é, em muitos casos, o ponto de partida de uma investigação • A técnica conhecida como "dead analysis" determina que o HD a ser analisado deve ser clonado bit a bit e qualquer análise deve ser feita nessa cópia, de forma a manter o HD íntegro • A imagem deve copiar todos os dados do HD, incluindo as partes não utilizadas >> Coleta
70. Dados, Informações e Evidências O que utilizar ? • Existem várias ferramentas para esta tarefa • A maioria implementa o mesmo formato (raw) • Esse é, literalmente, uma cópia fiel do HD • Formato gerado pela ferramenda dd (padrão) • Entretanto não é o único formato disponível >> Coleta
71. Dados, Informações e Evidências Imagens RAW – Pontos Positivos • Formato facilmente “montável” • Independe de ferramentas específicas • Muitas ferramentas disponíveis, tanto para linha de comando (CLI) quanto para interface gráfica (GUI) • Disponível em utilitários tanto para Linux quanto para Windows >> Coleta
72. Dados, Informações e Evidências >> Coleta Imagens RAW – Pontos Negativos • Arquivos muito grandes e sem suporte a compactação • Não é possível adicionar dados da investigação ao arquivo raw • Não monta facilmente se estiver dividido • Algumas operações são mais lentas devido ao grande tamanho
73. Dados, Informações e Evidências Outros Tipos de Imagens: • Expert Witness (E01) Propietário do Encase Permite compactação (sem perda) • Advanced Forensic Format (AFF) Tentativa de padronização Usa compactação e tratamento de erros Em fase de testes >> Coleta
74. Dados, Informações e Evidências • Plano de contingência para eventuais erros causados por algum procedimento da análise • Recomeda-se o uso de pelo menos duas cópias >> Duplicação e Preservação
75. Dados, Informações e Evidências • Principal ferramenta “dd” • Cópia bit-stream • Faz cópia de qualquer dispositivo que possa ser montado e acessado no Linux • Outras ferramentas podem ler e analisar arquivos gerados pelo “dd” Sintaxe: dd if=/*origem* of=/*destino* >> Duplicação e Preservação
76. Dados, Informações e Evidências Cópia remota: Máquina origem • dd if=/dev/hda | netcat IP_destino 1234 Máquina destino • netcat -l -p 1234 > imagem.dd >> Duplicação e Preservação
77. Dados, Informações e Evidências • Remoção de arquivo é uma abstração do FS • Dados permanecem intactos até serem sobrescritos • Taxa de utilização do disco não é uniforme >> Recuperação de Arquivos
78. Tráfego de Rede • Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) • Portas suspeitas • Tráfego intenso com pacotes incomuns à rede ou que deveriam estar desabilitados >> Análise do Tráfego de Rede
79. Tráfego de Rede • Pacotes contendo comandos, saídas de comandos e códigos de NOP’s; • Flood de pacotes para um determinado serviço ou máquina >> Análise do Tráfego de Rede
80. Tráfego de Rede Requisições HTTP suspeitas: • Mesma URL em várias requisições • URL’s contendo referências a comandos >> Análise do Tráfego de Rede
81. Tráfego de Rede • Análise dos pacotes capturados • Reprodução da sessão capturada • Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados) >> Análise do Tráfego de Rede
82. Tráfego de Rede Tcpdump • Ferramenta tradicional de captura de tráfego • Aceita filtros por expressões • Biblioteca padrão para captura de tráfego: libpcap s capturados >> Análise do Tráfego de Rede
83. Tráfego de Rede Wireshark • Mais completo dos analisadores de tráfego • Possibilita remontar uma sessão • Estrutura em árvore • Possibilidade de criação de filtros >> Análise do Tráfego de Rede
84. Esteganografia >> Definição Conjunto de princípios e técnicas empregadas para esconder uma mensagem dentro de outra. Pode ser aplicada em: Textos Imagens Áudios Vídeos
85. >> Exemplo simples - Imagem A imagem ao lado apresenta 3 valores RGB diferentes: (0, 0, 0) - Preto (255, 255, 255) - Branco (255, 255, 254) – Branco (?!?!) Esteganografia
86. Substituindo o “pseudo-branco” por roxo é possível ver o desenho de um urso, como visto ao lado: Esteganografia >> Exemplo simples - Imagem
87. Como Luiz Antônio vai invadir a Suécia ?!?! Esteganografia >> Exemplo simples - Texto
88. Como Luiz Antônio vai invadir a Suécia ?!?! C omo L uiz A ntônio v ai i nvadir a S uécia ?!?! Esteganografia >> Exemplo simples - Texto
89. Como Luiz Antônio vai invadir a Suécia ?!?! C omo L uiz A ntônio v ai i nvadir a S uécia ?!?! Mensagem escondida: CLAVIS Esteganografia >> Exemplo simples - Texto
91. Análise de Artefatos • Análise de um código malicioso para descoberta de suas funcionalidades • Tipos de análise: Estática – Engenharia Reversa – Disassemblers Dinâmica – Comportamental – Debuggers >> Tipos e Objetivo
92. Análise de Artefatos • Execução do Malware dentro de um ambiente controlado • Análise comparativa do sistema • É finalizada quando o Malware termina sua execução ou entra em execução estacionária • Ferramenta: OllyDBG, GDB ... >> Análise Dinâmica
93. Análise de Artefatos • Leitura do código • “ Descompilação” • Uso de disassemblers • Elevado conhecimento de linguagens de baixo nível • Tempo dedicado e paciência >> Análise Estática
94. Análise de Artefatos • Máquina isolada ou máquina virtual (Sandbox) • Acesso à rede seja praticamente nulo (host-only) • Sistemas operacionais distintos • Dificultar comprometimento da máquina host • Uso de snapshots >> Técnicas de Confinamento
95. Ferramentas >> Ferramentas Nativas - UNIX • strings – Extrai mensagens de texto de arquivos ou dispositivos • grep – Procura por padrões em arquivos – Utilizado como filtro por vários comandos no Linux • file – Identifica o tipo de arquivo
96. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Conexões TCP # netstat –natp | tee conexoes.tcp – Conexões UDP # netstat –naup | tee conexoes.udp – Processos em Execução # ps aux | tee processos
97. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Tráfego para determinado endereço: # tcpdump -n -vv -X -s 1518 host <endereço> -w trafego.dump – Arquivos Abertos e Relacionamentos com Processos # lsof | tee arquivos
98. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Informações sobre porta específica (TCP) # fuser –v <porta>/tcp > porta.tcp – Informações sobre porta específica (UDP) # fuser –v <porta>/udp > porta.udp – Módulos Ativos # lsmod | tee –a modulos.info # cat /proc/modules | tee –a modulos.info
99. Ferramentas >> Ferramentas Nativas - UNIX Perícia com Estação Pericial Remota - Netcat (nc) • Recebimento de dados da máquina periciada: # nc –l –p <porta> | tee <arquivo> • Envio de informações para a máquina remota: # cat <arquivo> | nc <máquina remota> <porta remota>
100. Ferramentas >> Ferramentas Nativas - UNIX Geração de Imagem Pericial – dd • Geração da Imagem: # dd if=/dev/hda1 of=imagem.dd • Montando uma imagem: # mount <imagem> <destino> -o ro,loop
101. Ferramentas >> Ferramentas Nativas - UNIX Geração de Imagem Pericial Remotamente - dd + ssh • Gerando uma Imagem de forma segura (criptografia): # dd if=/dev/hdb2 | ssh user@host dd of=imagem.img
102. Ferramentas >> Ferramentas Nativas - UNIX Identificação da Imagem Pericial • Verificando Imagem (integridade): # dd if=/dev/hda1 | md5sum –b deve ser igual a # dd if=imagem.dd | md5sum –b
103. Ferramentas >> Ferramentas Nativas - UNIX • Apesar de ser a maneira mais simples, o utilitário dd não oferece algumas funcionalidades importantes • O dd_rescue serve para realizar aquisições de mídias com problemas (o dd não é tolerante a erros) • O dcfldd possui um log de toda a operação, faz divisão da imagem (split) e verificação de integridade
104. Ferramentas >> The Coroner's Toolkit (TCT) • Criado por Dan Farmer e Wietse Venema • 6 de agosto de 1999 • IBM T.J. Watson Research Center • Palestra promovida pela IBM: “ UNIX Computer Forensics Analysis”
105. Ferramentas >> The Coroner's Toolkit (TCT) • Coleção de scripts Perl • Ferramentas mais conhecidas: graverobber: captura de informações ils / mactime: informações sobre acesso a arquivos findkey: recuperação de chaves criptográficas unrm / lazarus: recuperação de arquivos apagados
106. Ferramentas >> The Coroner's Toolkit (TCT) • Uso do TCT em recuperação de dados apagados: unrm + lazarus Visualização via browser Identificação de tipo (provável) de dado recuperado baseado em legenda
107. Ferramentas >> The Coroner's Toolkit (TCT) • Coleta de dados (varredura de áreas “apagadas”) unrm /dev/hdb1 >> imagem.out • Geração de código HTML para análise lazarus -h -D . –H . -w . imagem.out -h cria um documento HTML -D <dir> direciona a escrita de blocos -H <dir> direciona os principais arquivos HTML -w <dir> direciona outras saídas HTML
108. Ferramentas >> The Coroner's Toolkit (TCT) Limitações: • Não reconhece partições NTFS, FAT e EXT3 • Interface Pouco Amigável • Ausência de mecanismo de catalogação de perícias realizadas
109. Ferramentas >> Sleuth Kit • Inicialmente chamado T@SK The @stake Sleuth Kit • Baseado no TCT • Criado por Brian Carrier (2002) • Analisa sistemas de arquivos NTFS, FAT, UFS, EXT2 e EXT3 • Também criador de ferramentas de otimização baseadas no TCT - TCTUTILS
110. Ferramentas >> The Autopsy Forensic Browser • Interface gráfica (escrita em Perl) para o Sleuth Kit • Baseada em HTML, semelhante a um gerenciador de arquivos • Permite analisar arquivos, diretórios, blocos de dados e inodes (alocados ou apagados) • Permite a busca por palavraschave ou expressões regulares.
111. Ferramentas >> The Autopsy Forensic Browser • Pode ser executado diretamente no sistema comprometido • Possibilita armazenamento de casos para eventual análise posterior • Individualiza os investigadores de um mesmo caso
112. Ferramentas >> The Autopsy Forensic Browser • Iniciado via linha de comando • Acessado via navegador web • Galeria de “Cases” (Case Gallery) • Galeria de “Hosts” (Host Gallery) • Gerenciador de “Hosts” (Host Manager) • Imagem associadas a casos
113. Analisar a imagem recuperada de um disquete e responder as questões propostas. 1. Quem são os fornecedores de maconha de Joe Jacobs e qual o endereço informado pelo fornecedor? 2. Que dados cruciais estão disponíveis dentro do arquivo coverpage.jpg e porque estes dados são cruciais? 3. Quais (se existe alguma) outras escolas além da Smith Hill Joe Jacobs frequenta? Estudo de Caso 1
114. >> Exame de Conteúdo (File Analysis) Estudo de Caso 1
115. >> Exame de Conteúdo do Arquivo Apagado Estudo de Caso 1
116. >> Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1
117. >> Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1
118. >> Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1
119. >> Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1
134. Que informações você encontrou sobre o host atacante? Trata-se de um computador pertencente ao bloco de endereços ip alocado à empresa Verizon Internet Services Inc. (http://www.verizon.net) Segundo o órgão responsável pela alocação de endereços ip na américa do norte (ARIN - https://ws.arin.net/whois): OrgName: Verizon Internet Services Inc. OrgID: VRIS Address: 1880 Campus Commons Dr City: Reston StateProv: VA PostalCode: 20191 Country: US NetRange: 98.108.0.0 - 98.119.255.255 CIDR: 98.108.0.0/14, 98.112.0.0/13 Estudo de Caso 2
138. Quantas sessões TCP foram encontradas no log ? Uma vez que o envio de pacotes contendo a flag SYN não constitui estabelecimento de conexão, percebe-se a necessidade de adoção de outra forma de julgamento para determinar a existência de handshakes completos. Utlizando os filtros "tcp.flags == 0x02" (SYN), "tcp.flags == 0x11" (FIN/ACK) e "tcp.flags == 0x12" (SYN/ACK) podemos acompanhar a evolução dos estados da comunicação. Embora apenas 4 conexões tenham sido finalizadas com pacotes FIN, existiu uma quinta conexão que foi encerrada através de um sinal RST após os estados iniciais de estabelecimento da conexão. Logo, concluímos que existiram 5 sessões entre os hosts durante todo o ataque. Estudo de Caso 2
146. Qual o sistema operacional do host atacado? Qual o serviço? Qual a vulnerabilidade? Sistemas operacionais da família Microsoft Windows esperando por conexões na porta 445. A vulnerabilidade-alvo é uma checagem incorreta de parâmetros no Microsoft Windows LSASS (Local Security Authority Subsystem Service), permitindo que parâmetros extremamente longos fornecidos a um conjunto de funções resulte em corrupção da stack, podendo levar à execução arbitrária de comandos. Estudo de Caso 2
151. Você pode criar um resumo das atividades realizadas pelo atacante? - Estabelece uma conexão na porta 445 para fechá-la em seguida - Acessa o compartilhamento padrão IPC$ através de uma sessão nula (frame 20) - Já conectado, inicia uma requisição para abrir o named pipe sarpc - Explora a vulnerabilidade CVE-2003-0533 - Acompanhando a conexão iniciada no frame 36, supomos que o shellcode utilizado na exploração abre um terminal na porta 1957 com o programa “ cmd.exe”, aguardando conexões. Estudo de Caso 2
152. Você pode criar um resumo das atividades realizadas pelo atacante? - O atacante conecta e executa os seguintes comandos: - Ao executar as instruções do atacante, percebemos a seguinte conexão ftp iniciada pelo sistema explorado: - Ainda de acordo com a tela ao lado, devemos procurar pela transferência do arquivo na porta 1080 (PORT 192,150,11,111,4,56) Obs: a conta é: ((4 << 8) | 56) Estudo de Caso 2
153. Você pode criar um resumo das atividades realizadas pelo atacante? Estudo de Caso 2
156. Trata-se de um ataque manual ou automatizado? Perguntas Estudo de Caso 2
157. Qual a vulnerabilidade utilizada exatamente? A vulnerabilidade empregada foi “Microsoft Windows LSASS Buffer Overrun” CVE: CVE-2003-0533 MS Bulletin: MS04-011 A vulnerabilidade reside no parâmetro szDomainName da função não-documentada DsRoleUpgradeDownlevelServer() de NETAPI32.DLL. Caso forneçamos szDomainName grande demais, LSASS.EXE (que provê funcionalidades ao Active Directory) travará. Note que, idealmente, esta funcionalidade só deveria estar disponível ao host local. No entanto, devido a particularidades da API este tipo de checagem não é feito. Também é possível utilizar esta vulnerabilidade para aumento de privilégios localmente. Estudo de Caso 2
158.
159.
160. Houve a utilização de algum malware ? Se sim, diga seu nome. Estudo de Caso 2
161.
162.
163. Trata-se de um ataque manual ou automatizado? - Todos os passos do ataque listados anteriormente duraram apenas 16 segundos, tempo insuficiente para que uma pessoa cumprisse todas etapas do processo. - Entre os comandos passados via terminal, o atacante pediu que o computador afetado efetuasse conexão com um endereço ip inválido (0.0.0.0). Um erro tão primário dificilmente seria cometido por alguém digitando os comandos. A provável causa do fornecimento deste endereço é a ocorrência de algum erro no momento da obtenção do endereço da interface de rede pelo bot. Estudo de Caso 2
164. Sistema Operacional: Red Hat Linux 6.2 Server com instalação padrão Sintomas: Tráfego anômalo detectado pelo IDS Objetivo: Reconstruir os passos do invasor e analisar o impacto destes no sistema Estudo de Caso 3
165. Nov 7 23:11:51 lisa snort[1260]: IDS362 - MISC - Shellcode X86 NOPS-UDP: 216.216.74.2:710 -> 172.16.1.107:871 11/07-23:11:50.870124 216.216.74.2:710 -> 172.16.1.107:871 UDP TTL:42 TOS:0x0 ID:16143 Len: 456 3E D1 BA B6 00 00 00 00 00 00 00 02 00 01 86 B8 >............... 00 00 00 00 00 00 00 02 00 00 00 00 00 00 00 00 ................ . . . . . . 8D 4E AC 8D 56 B8 CD 80 31 DB 89 D8 40 CD 80 E8 [email_address] B0 FF FF FF 2F 62 69 6E 2F 73 68 20 2D 63 20 65 ..../bin/sh -c e 63 68 6F 20 34 35 34 35 20 73 74 72 65 61 6D 20 cho 4545 stream 74 63 70 20 6E 6F 77 61 69 74 20 72 6F 6F 74 20 tcp nowait root 2F 62 69 6E 2F 73 68 20 73 68 20 2D 69 20 3E 3E /bin/sh sh -i >> 20 2F 65 74 63 2F 69 6E 65 74 64 2E 63 6F 6E 66 /etc/inetd.conf 3B 6B 69 6C 6C 61 6C 6C 20 2D 48 55 50 20 69 6E ;killall -HUP in 65 74 64 00 00 00 00 09 6C 6F 63 61 6C 68 6F 73 etd.....localhos 74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 t............... 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ >> Log do IDS Estudo de Caso 3
166. Copiando dados das partições e fazendo hashes >> Coleta de Informações Estudo de Caso 3
167. Remontar as partições do sistema comprometido como somente leitura Criar uma linha do tempo com o The Coroner's Toolkit >> Coleta de Informações Estudo de Caso 3
168. Analisando a linha do tempo, observamos: >> Reconhecimento e análise de evidências Estudo de Caso 3
169. Recuperar o arquivo deletado no inode 8133 Analisar o arquivo e seu contexto >> Reconhecimento e análise de evidências Estudo de Caso 3
170. Nome de domínio encontrado no arquivo “egg.log” >> Reconhecimento e análise de evidências Estudo de Caso 3
171. Voltando a linha do tempo >> Reconhecimento e análise de evidências Analisando arquivo “inetd” encontrado Estudo de Caso 3
172. Histórico de comandos comprometido Criação de arquivos confirmando rootkit >> Reconhecimento e análise de evidências Estudo de Caso 3
173. Verificando se os arquivos foram modificados >> Reconhecimento e análise de evidências Conteúdo dos arquivos Estudo de Caso 3
174. Mais uma vez, linha do tempo >> Reconhecimento e análise de evidências Continua até aqui Estudo de Caso 3
175. Recuperando arquivo suspeito >> Reconhecimento e análise de evidências O servidor recém-instalado foi executado! Estudo de Caso 3
176. Analisando os arquivos de log >> Reconhecimento e análise de evidências As datas batem? Estudo de Caso 3
177. Recuperando logs apagados >> Reconhecimento e análise de evidências Shell Code encontrado! Estudo de Caso 3
178. Como o invasor conseguiu o acesso? Qual era o propósito do invasor quando invadiu? Como o invasor pretendia manter o acesso à máquina? >> Correlacionamento de Evidências O que aconteceu e em que ordem? O que foi instalado na máquina invadida? >> Reconstrução dos fatos Estudo de Caso 3
Em Crime by computer, o autor Donn B. Parker cita o primeiro caso que se teve notícia nos EUA, mais precisamente no estado de Minnesota, noticiado através do Minneapolis Tribune do dia 18 de outubro de 1966, sob o título &quot;PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO&quot;
Computação Forense é a ciência que trata do exame, análise e investigação de um incidente computacional, ou seja, que envolvam a computação como meio, sob a ótica forense, sendo ela cível ou penal. Na criminalística a Computação Forense visa determinar causas, meios, autoria e conseqüências de um incidente computacional.
A computação forense vsa auxiliar na investigação de violações de normas e/ou crimes eletrônicos.
Cavalo de Tróia - Quadrilha especializada em cometer crimes pela internet, contra bancos e clientes. Criaram sites e programas de computador capazes de capturar senhas e outras informações pessoais dos clientes que movimentavam as contas a partir da internet. Cavalo de Tróia II - Quadrilha de “hackers”, internautas e laranjas, que desviou R$ 240 milhões de bancos públicos e privados do país pela internet. Anjo da Guarda - 18 mandados de busca e apreensão em oito estados, com o objetivo recolher material de informática, fitas e CD’s contendo pornografia infantil. O responsável foi preso acusado de ter produzido, divulgado e trocado no exterior, via internet, fotos e vídeos de atos sexuais com menores de idade.
Anjo da Guarda II A segunda fase da Operação Anjo da Guarda prendeu no dia 31 de agosto, cinco pessoas acusadas de produzir e divulgar através da Internet fotos e vídeos contendo pornografia infantil.. Pégasus Desencadeada no dia 25 de agosto, prendeu integrantes de uma organização criminosa especializada em invadir contas bancárias através da Internet. Os fraudadores, conhecidos popularmente como ‘hackers’ ou ‘crackers’, causavam prejuízos a correntistas de todas as grandes instituições bancárias no país desde 2001, e alguns deles já tinham sido presos em outras operações realizadas pela Polícia Federal. Galáticos Prendeu no dia 23 de agosto integrantes de uma quadrilha que desviava dinheiro de contas bancárias através da Internet. Eram utilizados programas do tipo &quot;Spyware&quot; para capturar senhas bancárias de correntistas de vários bancos, principalmente a Caixa Econômica Federal. Estes programas eram disseminados através de e-mails com mensagens falsas (da Receita Federal e do Serasa), e também em sites de relacionamento como o Orkut.
O caso Abadia (26/03/2008): “ Em reportagem exclusiva no Fantástico, foi revelado que Ramirez Abadia enviou pela internet mais de duzentas mensagens de voz para comparsas do narcotráfico na colômbia. As mensagens sonoras estavam escondidas dentro de fotografias, graças a um sofisticado programa de computador.” Fonte: http://g1.globo.com/Noticias/SaoPaulo/0,,MUL363681-5605,00.html PF não consegue decifrar criptografia dos arquivos de Daniel Dantas Folha Online O impasse levou os investigadores da PF a estudar uma alternativa jurídica para o rompimento do sigilo. Em conjunto com o juiz federal Fausto De Sanctis, informado há mais de um mês sobre os problemas nos HDs, os policiais discutem a possibilidade de obrigar, por ordem judicial, a empresa norte-americana que criou o software a fornecer as chaves eletrônicas que abrem os arquivos. É também aguardada a chegada de um grupo de peritos da PF de Brasília.
Ex.: Boaz Guttman http://www.4law.co.il
Os discos rígidos são formados por platters posicionados em pilha. Os dados são gravados por “heads” posicionados nos dois lados de cada platter. Conforme o platter gira o head se move em direção ao centro da superfície buscando o local da gravação.
Disk file system: • Utilizado em dispositivos de armazenamento, como o HD por exemplo. Network file system: • Permite utilizar arquivos pela rede, montando partições remotamente. Database file system: • Arquivos são identificados por características como tipo, autor e outros metadados.
FAT (File Allocation Table) • Desenvolvido para MS-DOS • Usado em todas as versões do Microsoft Windows. • Minimalista e de fácil implementação FAT32 • Algumas correções e melhorias em relação ao FAT. NTFS (New Technology File System) – v1.2 utilizado em NT 3.51 e NT 4. – v3.0 utilizado no Windows 2000. – v3.1 utilizado no Windows XP e Windows Server 2003. • Informações como nome do arquivo, data de criação, permissões são gravadas como metadados.
Caso sejam compactados por algum utilitário de compactação (zip, gzip, tar, etc), eles não poderão ser montados dessa forma, requerendo que sejam descompactados antes de serem montados e usados. Todas as informações relativas ao caso ou ao arquivo devem ser armazenadas à parte, em outros arquivos/dispositivos; Para se montar uma imagem de 80Gb dividida em 10 pedaços de 8Gb, os pedaços precisam ser concatenados antes e somente após isso podem ser montados.
A duplicação dos dados é essencial para garantir a integridade das evidências. Evidências podem ser destruídas facilmente por atitudes descuidadas por parte dos analistas.
Exemplos: Copiando partição para outro disco: • dd if=/dev/sda2 of=/dev/sdb2 bs=4096 conv=notrunc,noerror Criando uma imagem de CD: • dd if=/dev/hdc of=/tmp/mycd.iso bs=2048 conv=notrunc Restaurando uma partição a partir de um arquivo de imagem: • dd if=/tmp/imagem.iso of=/dev/sdb2 bs=4096 conv=notrunc,noerror Copiando a memória para um arquivo: • dd if=/dev/mem of=/tmp/mem.bin bs=1024