O documento resume uma palestra sobre forense computacional com ferramentas de software livre. O palestrante discute os desafios da área, as etapas de uma investigação digital, distribuições Linux para forense, ferramentas abertas e demonstra análises de memória e tráfego de rede.

1. Forense Computacional
com Software Livre

2. Apresentação
Luiz Vieira
●
Construtor 4Linux
●
Consultor de Segurança
●
16 anos de experiência em TI
●
Pen-Tester, Perito Forense (CHFI)
●
Articulista sobre Segurança de vários sites:
VivaOLinux, SegurançaLinux, Imasters,
HackProofing e etc
●
Entusiasta do Software Livre
●
Filósofo e Psicoterapeuta
●
Blog: http://hackproofing.blogspot.com
www.4linux.com.br 2 / 21

3. Experiência em projetos de missão crítica

Pioneira no ensino de Linux à distância

Parceira de treinamento IBM

Primeira com LPI no Brasil

+ de 30.000 alunos satisfeitos

Reconhecimento internacional

Inovação com Hackerteen e Boteconet

www.4linux.com.br 3 / 21

4. No final da minha palestra
➔ As 05 primeiras perguntas ganharão um botton do
tux.
➔ Sorteio do curso: “Investigação Forense Digital”
Preencham o cupom que está no folheto que vocês receberam
●
na entrada da palestra;
Se você já preencheu, ele já está aqui na urna
●
O ganhador deve estar presente até o quinto sorteio. Se não
●
estiver presente ganhará o sexto sorteado
www.4linux.com.br 4 / 21

5. Tópicos de Hoje
●
O que é Forense Computacional?
●
Principais desafios da Forense Computacional
●
Passos de uma Investigação
●
Análise Viva e Post Mortem
●
Distribuições Linux para Forense
●
Ferramentas Livres e Toolkits para Forense
●
Análise de memória física
●
Demo: Análise de tráfego de rede com Xplico
●
Demo: Recuperação de senhas Windows com Ophcrack
www.4linux.com.br 5 / 21

6. O que é Forense Computacional
“Uma série metódica de técnicas e procedimentos para
coletar evidências de um sistema computadorizado, de
dispositivos de armazenamento ou de mídia digital,
que podem ser apresentadas em um fôro de uma
forma coerente e de formato inteligível”. - Dr. H. B.
Wolf
www.4linux.com.br 6 / 21

7. www.4linux.com.br 7 / 21

8. Principais Desafios da
Forense Computacional
●
Ainda é mais uma arte do que ciência;
●
Ainda está em seus estados iniciais de
desenvolvimento;
●
Há pouco conhecimento teórico sobre o qual as
hipóteses empíricas são baseadas;
●
Há falta de treinamento apropriado;
●
Não há padronização de ferramentas.
www.4linux.com.br 8 / 21

9. Distribuições Linux para
Forense
●
FDTK – Forensic Digital Toolkit
●
Helix
●
REMnux
●
CAINE - Computer Aided INvestigative Environment
●
DEFT Linux
●
Backtrack
●
Kraken*
www.4linux.com.br 9 / 21

10. Toolkits e Ferramentas Livres
para Forense
Toolkits
●
DFF
●
PTK
●
Autopsy
●
Framework Volatility
●
Sleuth Kit
●
The Coroner's Toolkit
Ferramentas
●
Centenas delas:
●
Foremost
●
Scalpel
●
memdump
●
shred
●
Pasco
●
dd, etc, etc, etc...
www.4linux.com.br 10 / 21

11. Análise Viva e Post-Mortem
Dados Voláteis
●
São informações que ficam armazenados na memória
principal do computador. Isso quer dizer que elas possuem
um ciclo de vida curto. Esse tipo de análise é chamada de
“Análise Viva”.
Dados não-voláteis
●
Dados não voláteis, são dados que podem permanecer na
máquina durante longos períodos de tempo e podem ser
recuperados mesmo após a mesma ser desligada. As
análises baseadas em dados armazenados em mídia de
backup, pendrives, CDs, ou memória auxiliar como um HD,
são chamadas de “Análise Post-Mortem”.
www.4linux.com.br 11 / 21

12. Análise de Memória Física
 A análise de memória física baseia-se em fazer um dump da memória física e
virtual de um sistema.
 O que podemos conseguir através da memória física?
• Arquivos com senhas em texto puro
• Arquivos com variáveis de ambiente ($HISTFILE)
• O mapas de todos os serviços que se encontram em execução.
 Aplicações de terminal:
• memdump (posix) - http://www.porcupine.org/forensics/memdump-
1.0.tar.gz (solaris/bsd/linux)
• dd (linux e windows)
www.4linux.com.br 12 / 21

13. Dump de Memória Física
 Dump da memória é nome do processo de capturar as informações da
memória, e pode ser feito através do comando dd:
• #dd < /dev/mem > mem.dump
• #dd < /dev/kmem > kmem.dump
 O investigador pode realizar buscas por palavras-chave através dos comandos
grep e strings:
• #strings -a mem.dump | grep palavra-chave
www.4linux.com.br 13 / 21

14. Ferramentas de Coleta de
Tráfego de Rede
 Ferramentas de coleta de informações em redes são softwares que podem
ser usados para obter dados da rede para análise forense.
 Estas ferramentas geralmente oferecem a funcionalidade de um sniffer e
um sistema de detecção de intrusão combinadas.
Sniffers
 Os sniffers operam na camada de enlace do modelo OSI. Isso significa que
eles não têm que jogar pelas mesmas regras que as aplicações e serviços
que residem nas camadas mais acima. Os sniffers podem capturar tudo e
gravar para posterior análise. Eles permitem que o usuário analise todos
os dados que estão contidos no pacote.
www.4linux.com.br 14 / 21

15. Análise de Tráfego de Rede
 A partir do tráfego de rede é possível analisar toda a comunicação entre atacante e
máquina invadida, estabelecendo uma seqüência de eventos e comparando com as outras
evidências encontradas.
 Um dos programas desse gênero mais popular é o tcpdump.
• # tcpdump -i eth0 host 10.10.0.1
 O parâmetro -w do tcpdump permite armazenar os datagramas capturados em um arquivo
binário para posterior análise:
• # tcpdump -w trafego.dump
• Com a análise dos datagramas pode-se encontrar evidências como:
endereço IP inválido ou suspeito;
tráfego em serviços ou portas que não deveria estar ocorrendo;
datagramas com opções, flags ou tamanhos que não respeitam os padrões do protocolo (Request for Comment - RFC);
flood de datagramas na rede;
tráfego TCP em portas incomuns.
www.4linux.com.br 15 / 21

16. Captura de Tráfego de Rede com
Xplico
www.4linux.com.br 16 / 21

17. Recuperação de Senhas
Windows com Ophcrack
www.4linux.com.br 17 / 21

18. Rastreamento de Informações a
partir de E-Mails
www.4linux.com.br 18 / 21

19. Oportunidades
Atuação em equipes de resposta a incidentes
●
Consultor de Segurança da Informação
●
Investigador Digital
●
Perito Forense Computacional
●
www.4linux.com.br 19 / 21

20. www.4linux.com.br 20 / 21

21. Obrigado
Luiz Vieira
luizwt@gmail.com
Http://hackproofing.blogspot.com
luiz.vieira@4linux.com.br
www.4linux.com.br
www.hackerteen.com
twitter.com/4LinuxBR
Tel: 55-11-2125-4747
www.4linux.com.br 21 / 21