Você está na página 1de 187
Segurança Análise forense
Segurança Análise forense

Segurança

Análise forense

Segurança Análise forense
Análise forense
Análise forense
Análise forense

Análise forense

Escola Superior de Redes RNP Copyright © 2009, Escola Superior de Redes RNP Autor Guilherme

Escola Superior de Redes RNP

Copyright © 2009, Escola Superior de Redes RNP

Autor

Guilherme Venere

Revisor

Pierre Lavelle

Supervisão técnica

Jacomo Piccolini

Coordenação acadêmica Derlinéa Miranda

Revisão final

Pedro Sangirardi

Design

Tecnodesign

Coordenação geral

Luiz Coelho

Versão

2.0.2

Todos os direitos reservados, no Brasil, por Escola Superior de Redes RNP http://www.esr.rnp.br

Análise forense Apresentação

A Escola Superior de Redes da Rede Nacional de Ensino e Pesquisa (RNP) oferece cursos em tecnologia da informação e da comunicação para quem busca formação essencialmente prática. As atividades são situações-problema semelhantes às que são encontradas na prática do profissional de TI. Estas atividades exigem análise, síntese e construção de hipóteses para a superação do problema. A aprendizagem torna-se mais efetiva se contextualizada à realidade profissional.

Os cursos propostos possuem 40 (quarenta) horas de duração divididas em 10 (dez) sessões de aprendizagem. Os participantes trabalham em grupo ou em duplas e cada um pode dispor de sua própria estação de trabalho. O material de ensino é composto de apostilas contendo slides comentados e roteiro de atividades práticas em laboratório.

Conhecimentos prévios

\\Principais ataques, mecanismos e ferramentas de segurança (como firewall, IDS, VPN) e autenticação ou o curso Segurança de redes e sistemas.

Objetivos

\\Obter uma visão geral e conceitos de análise forense

\\Apresentar os principais procedimentos que devem ser seguidos pelo investigador

\\Compreender as particularidades do processo de análise forense em Linux e Windows e as informações que devem ser coletadas em cada situação enfrentada

\\Aprender a coletar evidências em uma imagem de disco de um sistema comprometido

\\Recuperar evidências que possam fornecer pistas dos invasores

Escola Superior de Redes RNP Ao final do curso o aluno terá aprendido a \\

Escola Superior de Redes RNP

Ao final do curso o aluno terá aprendido a

\\Criar um CD de ferramentas forenses que poderá ser utilizado durante uma investigação

\\Elaborar uma cronologia, descrevendo o que aconteceu e quando ocorreu cada evento do comprometimento investigado

\\Conhecer a coleta de informações relacionadas aos programas executados, às bibliotecas do sistema e portas relacionadas

\\Identificar o tipo de auditoria a ser realizada

Sumário

Sessão de aprendizagem 1

Princípios

de

análise

forense

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 7

Sessão de aprendizagem 2 Ambiente e ferramentas de análise forense

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

19

Sessão de aprendizagem 3 Ambiente e ferramentas de análise forense (parte

 

43

Sessão de aprendizagem 4

 

Coleta

de

evidências

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

71

Sessão de aprendizagem 5 Recuperação e análise de evidências

 

85

Sessão de aprendizagem 6 Recuperação e análise de evidências (parte 2)

 

99

Sessão de aprendizagem 7 Linha de tempo e reconstrução do ataque

 

115

Sessão de aprendizagem 8

 

Análise

forense

em

Windows

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

123

Sessão de aprendizagem 9 Análise forense avançada em

 

135

Sessão de aprendizagem 10 Análise forense avançada em Windows (parte

 

155

Bibliografia .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

181

Escola Superior de Redes RNP

Escola Superior de Redes RNP

1
1

Sessão de aprendizagem 1 Princípios de análise forense

Sumário da sessão

Princípios

de

análise

forense

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 8

Motivações para investigar um incidente

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 9

Modo de ação dos atacantes

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

10

Detecção de ataques

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 11

Tipos de sistemas comprometidos

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 11

Procedimentos para análise forense

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

12

Cadeia de custódia de evidências

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

14

Metodologia

para

análise

forense.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

14

Conclusões

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

15

Roteiro de atividades

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

17

Atividade 1 – Preparando um

 

18

Atividade 2 – Funcionamento de um rootkit

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

18

Atividade 3 – Investigando um

 

18

Escola Superior de Redes RNP 8

Escola Superior de Redes RNP

8

Princípios de análise forense Resposta a incidentes de segurança Preparação Identificação Contenção
Princípios de análise forense
Resposta a incidentes de segurança
Preparação
Identificação
Contenção
Erradicação
Recuperação
Acompanhamento

Princípios de análise forense

A resposta a um incidente de segurança está dividida

em seis passos:

\\Preparação – A empresa define os ativos que deseja proteger, e as medidas cabíveis em caso de incidente.

\\Identificação – São utilizados mecanismos e técnicas para identificar a ocorrência de um incidente, e definir a extensão do ataque.

\\Contenção – Deve-se conter o ataque, impedindo que o invasor consiga acesso a outros sistemas e minimizando a atividade do atacante.

\\Erradicação – As ações do atacante devem ser erradicadas, com a aplicação de filtros e impedimento de qualquer atividade do invasor na rede.

\\Recuperação – Os sistemas invadidos devem ser recuperados e reinstalados.

\\Acompanhamento – As técnicas e vulnerabilidades utilizadas pelo atacante devem ser estudadas, e medidas devem ser aplicadas para impedir que elas funcionem.

Princípios de análise forense A empresa deve definir o que é um incidente de segurança
Princípios de análise forense
A empresa deve definir o que é um incidente de
segurança de acordo com os ativos que deseja
proteger.
Incidentes de segurança são eventos que interrompem
o
procedimento normal de operação de uma empresa
e
causam algum tipo de crise.
Podem ser ataques à infra-estrutura de informação de
uma empresa.
A prevenção dos incidentes é crucial.
Princípios de análise forense Análise forense é o segundo passo no processo de resposta a
Princípios de análise forense
Análise forense é o segundo passo no processo de
resposta a incidentes.
Existe uma sobreposição com o primeiro e com o
terceiro passo: o analista forense deve participar do
processo de preparação pré-incidente, e também do
processo de contenção pós-incidente.
Recuperar e analisar dados da maneira mais imparcial
e livre de distorções possível, para reconstruir os
dados ou o que aconteceu a um sistema no passado.

Incidentes de segurança podem ser causados por qualquer tipo de ataque realizado à infra-estrutura de informação de uma empresa, seja ele um ataque lógico ou um ataque físico. Os tipos mais comuns são ataques lógicos como invasões de servidores e ataques de negação de serviços, comprometimento ou perda de dados e infecção por vírus.

É necessário criar procedimentos que descrevam

ações a tomar no caso da ocorrência de um incidente

de segurança, inclusive no caso de incidentes inespera- dos. Deve-se gerar documentos que descrevam os pro- cedimentos de resposta a incidentes, os responsáveis pelas ações, a ação legal que a empresa está disposta

a

executar e principalmente um checklist de ação para

o

profissional que vai responder ao incidente.

O

analista forense deve se preocupar em tentar recu-

perar as evidências da forma mais confiável possível, evitando contaminar ou destruir evidências.

Registrando e documentando tudo o que foi feito,

o analista não precisará confiar na memória mais tarde, no momento de reconstruir os passos que foram executados durante a coleta de dados ou apresentar resultados aos superiores.

9

Por este mesmo motivo é bom sempre realizar análises dos dados em cópias, mantendo os originais seguros contra modificações e permitindo que seus passos sejam repetidos posteriormente.

Princípios de análise forense Minimizar perda de dados Evitar contaminação dos dados Registrar e documentar
Princípios de análise forense
Minimizar perda de dados
Evitar contaminação dos dados
Registrar e documentar todas as ações
Analisar, impreterivelmente, dados em cópias
Reportar as informações coletadas
Principalmente: manter-se imparcial
“É um erro capital teorizar antes de obter todas as evidências.”
Sherlock Holmes
Motivações para investigar um incidente Razões para não investigar um incidente: Custo Demora Falta de
Motivações para investigar um incidente
Razões para não investigar um incidente:
Custo
Demora
Falta de objetividade
Disponibilização de recursos importantes
Processo que demanda tempo e recursos, nem
sempre útil para a empresa.
É mais fácil reinstalar um computador do que realizar
uma investigação.
Motivações para investigar um incidente Então, por que investigar? Identificar sinais de ataque Determinar a
Motivações para investigar um incidente
Então, por que investigar?
Identificar sinais de ataque
Determinar a extensão do comprometimento
Reconstruir a ordem dos eventos
Entender o modus operandi do atacante
Responder:
O quê?
Quando?
Onde?
Como?

Durante o processo de análise forense, é comum aparecerem informações indicando comprometi- mento de outros sistemas da empresa ou mesmo de outras empresas. É importante que o analista forense reporte frequentemente o andamento das investigações e os fatos relevantes descobertos, para que a empresa possa tomar as medidas necessárias.

É preciso que se mantenha total imparcialidade durante a investigação. Antes de apontar o culpado, tenha certeza de que ele não é inocente.

Motivações para investigar um incidente

\\Identificar sinais de ataque – Em muitas situações, quando uma máquina está comprometida, ela começa a perder desempenho, pois está sendo utilizada pelo hacker ou vírus para fins diferentes daqueles aos quais se destina. Um dos passos de uma análise forense é tentar identificar sinais de comprometimento. Isto pode ajudar a empresa

a descobrir se outros servidores que apresentam

o mesmo comportamento estão comprometidos ou não.

\\Determinar a extensão do comprometimento – Como foi dito, durante o processo de análise

forense é comum aparecerem informações sobre

o comprometimento de outros sistemas dentro

ou fora da empresa. Descobrir as máquinas que foram comprometidas é importante para manter

a integridade da informação a ser protegida.

\\Reconstruir a ordem dos eventos – Com

isso é possível descobrir o que o invasor fez durante o período em que teve acesso ao sistema da empresa. A correlação de eventos pode ajudar a empresa a determinar o que foi comprometido, e principalmente quando ocorreu

o comprometimento. É muito comum descobrir,

por exemplo, que a empresa já estava invadida há meses, e que só por algum descuido do invasor é que tudo foi descoberto.

Escola Superior de Redes RNP 10

Escola Superior de Redes RNP

10

\\Entender o modus operandi do atacante – Este item faz da análise forense uma poderosa ferramenta de proteção contra ataques. Sabendo como o atacante agiu da primeira vez, a empresa vai poder tomar ações bem fundamentadas para se proteger contra novos ataques.

Modo de ação dos atacantes Informação é a sua maior arma. Conhecendo o modo de
Modo de ação dos atacantes
Informação é a sua maior arma.
Conhecendo o modo de operação dos invasores, você
pode melhorar suas defesas; facilita o trabalho de
investigação, porque você já sabe o que procurar.
Técnicas de engenharia social são difíceis de
combater: somente um treinamento adequado pode
diminuir esse risco.
A maior parte dos ataques segue um mesmo padrão.

Modo de ação dos atacantes

É claro que nem todos os hackers agem do mesmo modo, mas pode-se dizer que uma grande parte deles segue um padrão de ação comum. Conhecer esse padrão já é um bom começo para analisar um sistema que provavelmente foi comprometido.

Normalmente, os ataques se iniciam algum tempo antes da invasão propriamente dita: o invasor precisa conhecer sua rede, saber como vai conseguir com- prometer seu sistema. Portanto, as atividades de reconhecimento podem ser o primeiro indício de que algo está para acontecer.

Um tipo de teste difícil de detectar é um reconhecimento que utiliza técnicas de engenharia social. Um simples telefonema pode ser mais eficiente para entregar os pontos fracos de sua rede do que uma ferramenta poderosa. Neste caso, a prote- ção fica mais difícil, e só um treinamento adequado poderá proteger a empresa.

Modo de ação dos atacantes Identificação do alvo Coleta de informações Identificação de vulnerabilidades
Modo de ação dos atacantes
Identificação do alvo
Coleta de informações
Identificação de vulnerabilidades
Comprometimento do sistema
Controle do sistema
Instalação de ferramentas
Remoção de rastros
Manutenção do sistema comprometido

Depois de coletar informações sobre o sistema que vai invadir, o hacker parte para a invasão. Nesta hora, já se torna mais difícil detectar as atividades do invasor. Muitas vezes são utilizadas ferramentas que simulam uma conexão válida, ou então técnicas para esconder o ataque, como criptografia ou túneis de protocolos.

Mecanismos de detecção de intrusão são muito úteis. Posteriormente, estes mesmos mecanismos poderão ser atualizados com as informações coleta- das após um ataque. Analisando a técnica utilizada pelo invasor, a empresa poderá criar mecanismos mais eficientes para se defender.

Após comprometer o sistema, o invasor normalmente tenta tomar o controle do sistema. O invasor precisa então tentar adquirir privilégios de administrador. Ferramentas que monitorem a integridade do sistema podem auxiliar a detectar uma invasão antes que ela se torne mais séria. Programas como Tripwire permi- tem monitorar a integridade dos arquivos de uma máquina.

11

Após conseguir o acesso privilegiado ao sistema, o invasor tenta apagar os rastros de sua existência, para impedir que ele seja detectado enquanto estiver realizando suas ações maldosas. Neste momento, é comum o invasor instalar um rootkit, um pacote de ferramentas que modifica o sistema para esconder qualquer traço da existência do hacker na máquina. Ao instalar uma ferramenta como esta, o hacker praticamente passa a controlar a máquina. Pode-se utilizar uma ferramenta de detecção de rootkits, tal como o Chkrootkit, para tentar detectar a presença dessas ferramentas. Outra alternativa é monitorar a rede para descobrir se a máquina está comprometida.

Hoje em dia, sistemas comprometidos têm um alto valor de troca no submundo da inter- net. Ferramentas de negação de serviço podem ser instaladas em diversos sistemas comprometidos, e o poder somado desses sistemas pode ser trocado no submundo por informação ou mesmo por dinheiro. Como podemos ver, a invasão de sistemas não é só uma diversão para alguns invasores, podendo ser um negócio bem rentável.

Uma característica do comportamento de invasores é a manutenção do sistema compro- metido. É muito comum ver máquinas comprometidas atualizadas pelo hacker, corrigindo as falhas de segurança que permitiram a sua entrada. Para garantir que poderão voltar no futuro, os invasores costumam instalar back-doors, serviços clandestinos que permitem ao invasor se conectar mais tarde com as permissões privilegiadas que conseguiu.

Detecção de ataques Padrão para detectar mais facilmente um ataque : Monitoramento da rede Detecção
Detecção de ataques
Padrão para detectar mais facilmente um ataque :
Monitoramento da rede
Detecção de assinaturas de ataques e modificações
no sistema
Utilização de ferramentas de auditoria
Principalmente, conhecimento de seus sistemas e de
sua rede
Tipos de sistemas comprometidos Sistema desligado: Sem atividade no disco rígido Evidências voláteis perdidas Sem
Tipos de sistemas comprometidos
Sistema desligado:
Sem atividade no disco rígido
Evidências voláteis perdidas
Sem atividade do invasor
Sem necessidade de contenção do ataque
Possivelmente algumas evidências foram modificadas

Detecção de ataques

Tipos de sistemas comprometidos

Neste caso, a coleta de evidências fica mais fácil: as informações voláteis presentes na memória do com- putador ou na tela foram perdidas. O sistema agora contém apenas os arquivos que foram gravados no disco rígido, evidências que deverão ser coletadas.

Escola Superior de Redes RNP 12

Escola Superior de Redes RNP

12

Tipos de sistemas comprometidos Sistema ligado: Atividade no disco rígido Atividade de rede Evidências voláteis
Tipos de sistemas comprometidos
Sistema ligado:
Atividade no disco rígido
Atividade de rede
Evidências voláteis
Possibilidade de atividade do invasor
Necessidade de conter o ataque
Modificação das evidências
Tipos de sistemas comprometidos Sistema ligado: Verificar se o sistema está comprometido Não comprometer as
Tipos de sistemas comprometidos
Sistema ligado:
Verificar se o sistema está comprometido
Não comprometer as evidências
Conter o ataque
Coletar evidências
Power-off ou shutdown?
Power-off: não modifica evidências, mas pode corromper os
dados
Shutdown: garante integridade dos dados, mas pode
modificar evidências

A ação do analista forense tem que ser muito cuida-

dosa, para não despertar a atenção do invasor, não comprometer evidências, mas também para impedir que mais dano seja causado. Por outro lado, em um sistema ligado, o analista forense tem a possibilidade de coletar informações que não estariam disponíveis em um sistema desligado.

Por exemplo, é possível coletar informações de rede, permitindo identificar com mais segurança se

o sistema está comprometido ou não, e também

identificar outras máquinas na rede da empresa que também possam estar comprometidas.

Tudo o que for feito poderá alterar as evidências, inclusive não fazer nada. Portanto, as ações do ana- lista forense têm que ser bem pensadas, e é muito importante que todas as ações sejam documentadas.

A primeira coisa a fazer é tentar identificar, da forma menos intrusiva possível, se o sistema suspeito está

ou não comprometido. Algumas técnicas, como realizar um scan por portas abertas no sistema, ou procurar por arquivos suspeitos no espaço de disco, devem ser evitadas a todo custo. Estas ações podem disparar alarmes que alertariam o invasor de que ele foi descoberto, além de comprometer evidências.

Dependendo da criticidade do sistema, muitas vezes não será possível simplesmente desligar a máquina da energia. Um servidor de banco de dados teria informações corrompidas se fosse desligado da tomada. Ou então, ao tentar executar uma parada do sistema, mecanismos de proteção instalados pelo invasor poderiam apagar todo o disco, provocando o desaparecimento de evidências e dados importantes.

Procedimentos para análise forense Procedimentos para análise forense A primeira fase de uma investigação forense
Procedimentos para análise forense
Procedimentos para análise forense
A
primeira fase de uma investigação forense é a pre-
A reação precisa ser rápida, por isso esteja preparado
Tenha em mãos um checklist de ações e todas as
ferramentas necessárias
Esterilize as mídias antes de coletar evidências
Colete primeiro as evidências mais voláteis
Crie e utilize uma dirt list: uma lista de palavras, termos e
nomes que podem indicar um comprometimento
Esta lista deve ser utilizada em todo o processo de
investigação e atualizada constantemente
Crie um registro para cada evidência e faça um relatório da
sua investigação
paração, como foi dito anteriormente: saber o que
pode e o que não pode ser desligado, elaborar um
checklist de ações que devem ser tomadas, e princi-
palmente preparar as ferramentas necessárias.
É
importante também esterilizar as mídias onde serão
gravadas as evidências, para evitar a contaminação
com dados previamente gravados nas mesmas.

13

Esterilizar as mídias significa eliminar quaisquer dados que possam existir nos discos

e dispositivos utilizados para gravar suas evidências. Normalmente, basta executar um procedimento de gravação de zeros (byte 00) em todos estes dispositivos, sobrescrevendo qualquer dado que exista ali, antes de gravar qualquer evidência.

Evidências voláteis são aquelas que se perdem mais facilmente, caso o sistema seja desligado ou ações executadas pelo hacker ou pelo analista sobrescrevam informações. Exemplos: dados na memória RAM, processos em execução, cone- xões estabelecidas, entre outros.

Uma maneira de ajudar o analista forense a procurar evidências é utilizando uma

dirt list, ou lista maliciosa, que deve conter palavras, termos, nomes de ferramentas

e pessoas que tenham ligação com ataques, grupos de hackers, atividades crimi-

nosas, entre outros. Com isso, o analista poderá realizar pesquisas nas evidências procurando pela presença dessas palavras-chave. Esta lista deve ser atualizada constantemente para incluir palavras e nomes encontrados durante a investigação.

Procedimentos para análise forense Ordem de coleta de evidências: Informações sobre o ambiente (ambiente
Procedimentos para análise forense
Ordem de coleta de evidências:
Informações sobre o ambiente (ambiente operacional,
fotos da sala e da tela do computador)
Cópia binária da memória RAM
Informações sobre processos em execução, conexões de
rede, registros, cache etc.
Informações sobre o tráfego de rede
Cópias dos discos rígidos
Possíveis mídias removíveis (fitas, disquetes, CD-ROM)
Material impresso (adesivos, folhas impressas)

Toda informação coletada durante a avaliação inicial e durante a investigação deve ser documentada e autenticada. Esta autenticação pode ser feita utili- zando algum algoritmo de hash de dados, tal como MD5, SHA1, SHA256 ou outro algoritmo de hash equivalente.

Tenha sempre em mãos um checklist que indique o que fazer e quando. O checklist deve ser o mais minucioso possível, não deixando dúvidas sobre as ações a serem tomadas. Se possível, ele deve incluir os comandos e argumentos que precisam ser usados em cada etapa.

Procedimentos para análise forense Criar registro para cada evidência Criar assinatura das evidências: MD5 SHA1
Procedimentos para análise forense
Criar registro para cada evidência
Criar assinatura das evidências:
MD5
SHA1
SHA256
Evitar comprometer evidências
Criar relatório detalhado da investigação:
Comandos executados
Pessoas entrevistadas
Evidências coletadas

Na coleta de evidências, devemos seguir a ordem de volatilidade das informações: informações voláteis são aquelas que se perdem com mais facilidade.

Há poucos anos, utilizava-se o algoritmo MD5 como padrão, mas devido a pesquisas recentes sobre ataques contra a segurança desse algoritmo e do próprio SHA1, a comunidade internacional começou a desenvolver novos algoritmos para substituí-los.

Teoricamente, estes algoritmos têm um baixo índice de colisão, isto é, dificilmente geram uma mesma

chave criptográfica a partir de dados diferentes. Entretanto, pesquisas detectaram uma possibilidade de gerar colisões com taxas de probabilidade bem menores do que deveriam ocorrer naturalmente com estes algoritmos. Por isso, recomenda-se a utilização de algoritmos melhores e mais atuais.

Escola Superior de Redes RNP 14

Escola Superior de Redes RNP

14

Cadeia de custódia de evidências Registro detalhado do modo como as evidências foram tratadas durante
Cadeia de custódia de evidências
Registro detalhado do modo como as evidências
foram tratadas durante a análise forense, desde a
coleta até os resultados finais.
Este registro deve conter informações sobre quem
teve acesso às evidências ou às cópias utilizadas.
Durante um processo judicial, este registro vai
garantir que as provas não foram comprometidas.
Cada evidência coletada deve ter um registro de
custódia associada a ela.
Cadeia de custódia de evidências Um registro de custódia deve conter pelo menos os seguintes
Cadeia de custódia de evidências
Um registro de custódia deve conter pelo menos os
seguintes itens:
Data e hora de coleta da evidência
De quem a evidência foi apreendida
Informações sobre o hardware, como fabricante, modelo,
números de série etc.
Nome da pessoa que coletou a evidência
Descrição detalhada da evidência
Nome e assinatura das pessoas envolvidas
Identificação do caso e da evidência (tags)
Assinaturas MD5/SHA1 das evidências, se possível
Informações técnicas pertinentes
Metodologia para análise forense Procedimentos do analista forense são invariáveis Utilidade de metodologia bem
Metodologia para análise forense
Procedimentos do analista forense são invariáveis
Utilidade de metodologia bem definida
Os passos de uma investigação são cíclicos:
Cada passo alimenta o conjunto de evidências e
fornece novas bases para o investigador procurar
por mais evidências na próxima fase.
Os passos devem ser repetidos até que:
Chegue-se a uma conclusão
Não existam mais informações úteis a encontrar

Cadeia de custódia de evidências

Este registro visa garantir que as evidências não foram modificadas ou comprometidas, acidental- mente ou propositalmente, durante o processo de análise forense. Isto é importante principalmente se o caso vai ser tratado judicialmente. Em juízo, será necessário comprovar que as evidências são válidas legalmente, e um registro mal feito pode colocar a perder um caso inteiro. Um cuidado especial deve ser dado às evidências digitais, pois elas são mais facilmente modificadas ou destruídas.

Metodologia para análise forense

Independentemente do sistema invadido ou do método utilizado na invasão, os procedimentos segui- dos pelo analista forense não variam. Uma metodolo- gia bem definida facilita o trabalho do investigador e ajuda a mantê-lo focado.

Os passos que devem ser seguidos em uma investi- gação são cíclicos: cada passo alimenta o conjunto de evidências e fornece novas bases para o inves- tigador procurar por mais evidências na próxima

fase. Os passos devem ser repetidos até que se consiga chegar a uma conclusão, ou até decidir que não há mais informações úteis a serem encontradas.

O primeiro passo da investigação das evidências é tentar estabelecer uma linha de tempo para o ataque e para as evidências encontradas durante a fase inicial de análise. Com a linha de tempo, o investigador pode ter uma base para procurar por novas evidências, arquivos e dados que possam ter relação com o caso.

15

O passo seguinte é analisar esses arquivos e dados para identificar sua relação

com o caso, funcionalidades e informações importantes que possam conter.

A seguir, o investigador deve realizar uma análise no nível de dados do sistema

operacional, procurando por strings e bytes que possam ser importantes para a investigação. Deve-se voltar à linha de tempo do incidente, pra inserir os novos dados coletados e associar essas informações com o caso. Com essas novas

informações, o investigador terá uma nova base para procurar por mais evidên- cias, e assim o processo se repete até que o caso seja solucionado ou se decida que o esforço e o custo da investigação já não valem mais a pena.

Finalmente, quando já tiver sido realizada uma análise o mais completa possível, deve-se gerar um relatório com os resultados encontrados e técnicas utilizadas,

e uma conclusão para o caso alcançada, com base nas evidências coletadas durante a investigação.

com base nas evidências coletadas durante a investigação. Conclusões O sucesso da investigação depende de uma
Conclusões O sucesso da investigação depende de uma preparação prévia Informação é a melhor arma
Conclusões
O sucesso da investigação depende de uma preparação
prévia
Informação é a melhor arma contra os invasores
Tenha em mãos:
Todas as informações sobre o sistema comprometido
Todas as ferramentas necessárias
Não comprometa as evidências
A cadeia de custódia de evidências garante uma
representação fiel dos dados originais
Adote uma metodologia e seja imparcial e preciso em suas
ações

Conclusões

A seguir prepararemos o ambiente de análise forense

e conheceremos as ferramentas necessárias para a investigação.

Escola Superior de Redes RNP 16

Escola Superior de Redes RNP

16

1
1

Sessão de aprendizagem 1 Princípios de análise forense Roteiro de atividades

Tópicos e conceitos

\\Preparação para uma investigação e identificação de formas de ataque.

Competências técnicas desenvolvidas

\\Elaboração de um checklist, atualização em relação às formas de ataque rootkit;

\\Investigação do comprometimento de computadores.

Outras competências desenvolvidas

\\Capacidade de investigação e pesquisa.

Tempo previsto para as atividades

\\90-120 minutos

Escola Superior de Redes RNP 18

Escola Superior de Redes RNP

18

Atividade 1 – Preparando um checklist

1. Este exercício deve ser feito em dupla. Suponha que em sua empresa existe um servidor web considerado crítico, que hospeda todo o sistema de gerenciamento de projetos da empresa e não pode ficar parado. Um backup diário dos dados é realizado constantemente. Deve-se supor que os integrantes da dupla fazem parte da comissão que está definindo os procedimentos a adotar quando ocorrer um incidente de segurança envolvendo a máquina do servidor. Pensando em todas as implicações destas ações, defina o que deve ser feito no caso de:

1. Ataque de negação de serviço;

2. Comprometimento da máquina por ação hacker.

Discuta com seu parceiro os procedimentos e monte um checklist das ações que devem ser tomadas. Procure ser o mais objetivo possível, de modo que uma pes- soa que siga o checklist não precise tomar nenhuma decisão. Pense que em um momento de crise, a pessoa referida não pode perder tempo tomando decisões.

Atividade 2 – Funcionamento de um rootkit

Junto com um colega, pesquise na internet informações sobre rootkits que os invasores usam para tomar controle de um servidor, tanto em servidores Unix quanto Windows. Procure informações sobre um rootkit da sua escolha para saber suas funcionalidades, e os modos para detectar a presença dele em uma máquina. Elabore um documento sobre este rootkit, descrevendo o modus operandi do mesmo, funcionalidades, dificuldade de detecção e, se possível, formas de detectá-lo e removê-lo do sistema. O instrutor vai escolher alguns alunos para apresentar este documento aos demais.

Atividade 3 – Investigando um computador

(Para fazer em dupla) Você deve verificar se a máquina de seu companheiro está comprometida. Lembre-se dos passos necessários para garantir a integridade das evidências. Usando as ferramentas do sistema, você deve descobrir todos os serviços TCP ativos na máquina. Para este exercício, vamos considerar como comprometido o serviço Bootp (porta 68) no Linux, ou o serviço Netbios (porta 445) no Windows. Se o serviço estiver sendo executado, a máquina está comprometida. Faça um relatório de todas as ações tomadas durante a investigação, bem como um registro de custódia de qualquer evidência coletada.

Como sugestão, utilize o roteiro criado na Atividade 1; ele facilita a investigação? Quais foram os problemas encontrados ao seguir o roteiro? Sugira modificações ao roteiro.

2
2

Sessão de aprendizagem 2 Ambiente e ferramentas de análise forense

Sumário da sessão

Pré-requisitos

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

20

Hardware

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

20

Sistema

operacional .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

21

Live CD

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

22

Hardware

forense .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

23

Pacote

forense .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

24

Programas específicos

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

27

Preparação da

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

29

Preparação do

ambiente .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

29

Coletando informações dos

 

31

Preservação do

disco .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

35

Outras formas de preservação do

 

37

Conclusões

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

39

Roteiro de atividades

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

41

Atividade 1 – Kit do investigador

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

42

Atividade 2 – Coleta de informações voláteis

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

42

Escola Superior de Redes RNP 20

Escola Superior de Redes RNP

20

Pré-requisitos A primeira ação do investigador é coletar evidências no local onde ocorreu a invasão.
Pré-requisitos
A primeira ação do investigador é coletar evidências
no local onde ocorreu a invasão.
Após isso, entra em cena a análise de mídias.
O investigador precisará analisar dezenas de
gigabytes de dados, e por isso deve contar com um
ambiente propício, com ferramentas que facilitem seu
trabalho.
Pré-requisitos O objetivo da análise de mídias é coletar evidências que comprovem ou refutem a
Pré-requisitos
O objetivo da análise de mídias é coletar evidências que
comprovem ou refutem a invasão.
As evidências originais devem ser preservadas, por isso a
análise deve ser feita em cópias das mídias.
O analista deve evitar comprometer as evidências, e
garantir que todos os resultados possam ser
reproduzidos, o que envolve a criação e manipulação de
dezenas de gigabytes de dados.
Além disso, o sistema invadido não é confiável, portanto o
investigador precisa dispor de um ambiente confiável e
controlado para realizar a investigação.

Pré-requisitos

Durante o atendimento inicial ao incidente, o inves- tigador vai precisar da recuperação de arquivos em memória, coleta de cópias fiéis dos discos rígidos e dispositivos de armazenagem presentes na máquina investigada, cópia da memória RAM, coleta de infor- mações de conexões de rede, entre outros.

Em alguns incidentes, onde ocorre o envolvimento de autoridades policiais, é necessário manter sob guarda o disco original da máquina envolvida no inci- dente. No Brasil, somente um perito autorizado pode coletar, de forma legal, evidências na cena de um incidente. A empresa ou responsável pela máquina deve garantir apenas armazenamento e custódia seguros do equipamento.

A utilização de hashes MD5/SHA1 garante que as evi-

dências coletadas durante uma investigação possam ser comparadas posteriormente, caso seja necessário refazer os passos da análise forense. Duas evidências coletadas com a mesma técnica e que tenham os mesmos hashes são garantidamente iguais.

Em um sistema invadido, o hacker pode ter modifi-

cado arquivos, kernel, bibliotecas compartilhadas, módulos carregados. Portanto, nenhum arquivo existente na máquina é confiável. Se existir um rootkit e o investigador utilizar os comandos do sistema para listar processos ou arquivos, não verá as informações escondidas pelo rootkit. O inves- tigador deve sempre utilizar suas próprias ferramentas e bibliotecas.

Hardware Quanto mais memória RAM e mais processamento houver, melhor. O espaço livre em disco
Hardware
Quanto mais memória RAM e mais processamento
houver, melhor.
O espaço livre em disco deve ser generoso, algumas
vezes podendo analisar centenas de gigabytes.
O sistema deve ter baias para conectar os discos de
evidências.
Um notebook é imprescindível quando não for
possível remover o disco de evidência.
Além disso, o investigador deve dispor de
equipamentos de rede diversos.

Hardware

O sistema deve ter baias para conectar os discos

de evidências. De preferência, as baias devem ser configuradas para jamais iniciarem o sistema a partir dos discos contidos nelas.

Um notebook é imprescindível quando não for pos- sível remover o disco de evidência. Este notebook deve conter as mesmas ferramentas da estação forense. Além disso, o investigador deve dispor de equipamentos de rede diversos: hubs, cabos cross-

over e normais, placas de rede normais e wireless, disco rígido externo (USB e paralelo), bem como um equipamento para realizar cópias de disco automaticamente.

21

Sistema operacional Entre os pontos que devem ser levados em consideração na hora de escolher
Sistema operacional
Entre os pontos que devem ser levados em
consideração na hora de escolher o sistema
operacional, podemos citar os seguintes:
Familiaridade do investigador com o sistema
operacional
Disponibilidade de ferramentas
Capacidade do sistema operacional de reconhecer
diversos tipos de mídias ou sistemas de arquivos
diferentes
Mecanismos de segurança disponíveis no sistema
operacional
Sistema operacional Durante o curso, usaremos o Linux, por causa de algumas características deste sistema:
Sistema operacional
Durante o curso, usaremos o Linux, por causa de
algumas características deste sistema:
Não é necessário adquirir licenças para uso
Existe uma gama completa de ferramentas de análise forense de uso
livre
Capacidade de acessar qualquer tipo de sistema de arquivos ou
partições a partir de configuração no kernel
Capacidade de acessar diversos tipos de dispositivos (USB, discos
etc)
Firewall embutido no kernel e possibilidade de utilizar diversas
modificações no kernel para aumentar a segurança da máquina
Disponibilidade de diversas distribuições prontas para análise
forense, facilitando o trabalho de reunir diferentes ferramentas
Sistema operacional Apesar disso, existem limitações na utilização do sistema Linux. Se for necessário analisar
Sistema operacional
Apesar disso, existem limitações na utilização do
sistema Linux.
Se for necessário analisar algum executável para
Windows, precisaremos de uma maneira de emular o
Windows. A melhor opção é utilizar o VMWare ou
outro sistema de emulação, como o Wine.
Apesar da escolha pelo Linux, existem ótimas
ferramentas de análise forense para Windows, tal
como o software EnCase.

Sistema operacional

Deve-se levar em conta que às vezes vai ser neces- sário investigar um sistema sem dispositivos padrão, como os presentes em um computador comum. Por exemplo, como investigar incidentes envolvendo um PDA, ou uma estação RISC/Solaris? Os dispositivos de disco são diferentes, e o sistema operacional da estação forense precisa reconhecer esses equipa- mentos. Alguns softwares para Windows, como o EnCase, têm um suporte melhor para imagens de partições variadas. Entretanto, um suporte nativo no sistema operacional pode ser muito útil e poupar tempo do investigador.

Além disso, o sistema operacional precisa ser seguro

o suficiente para não ser comprometido com alguma

ferramenta investigada. Imagine se o investigador está analisando um arquivo desconhecido e sua estação forense é comprometida por este arquivo?

Além disso, existem outras vantagens no uso do Linux, como o sistema da estação forense e das

ferramentas. O sistema permite a criação de CDs inicializáveis que rodam em praticamente qualquer configuração de hardware sem a necessidade de instalação de drivers; rodam com pouca memória

e contam com diversos mecanismos de segurança embutidos no próprio sistema.

Existem diversas opções para resolver o problema de análise de binários de outros sistemas operacio- nais. No caso do Windows, em alguns casos é possí- vel executar o binário com emuladores por software como o Wine, ou utilizar o próprio VMWare com um sistema Windows rodando na máquina virtual.

Além disso, dependendo do tipo de análise que vai ser feita, existem debuggers para Linux que têm suporte a diversos formatos de binários e processa- dores, como por exemplo o IDA-Pro.

Escola Superior de Redes RNP 22

Escola Superior de Redes RNP

22

Live CD Importante manter as ferramentas atualizadas Existem diversos CDs inicializáveis com sistemas Linux: Não
Live CD
Importante manter as ferramentas atualizadas
Existem diversos CDs inicializáveis com sistemas
Linux:
Não precisam ser instalados
Normalmente não modificam o sistema instalado
Podem ser utilizados em um sistema ligado ou como
dispositivo de boot em um sistema desligado
São atualizados pelos responsáveis
Contêm uma ampla gama de ferramentas

Live CD

Há grupos especializados em reunir as melhores

ferramentas para análise forense. Existem diversos

CDs inicializáveis com sistemas Linux, prontos

para serem utilizados em um atendimento inicial a

um incidente. Eles não precisam ser instalados, e

normalmente não causam modificações no sistema instalado. Podem ser utilizados em um sistema ligado, ou como dispositivo de boot em um sistema desligado. Contendo uma ampla gama de ferramen- tas, sua atualização é mantida pelos responsáveis.

Um grande problema para o investigador é manter atualizadas todas as suas fer- ramentas, medida importante em um processo de análise forense. Por exemplo, investigadores da polícia técnica ou peritos criminais em informática têm como parte dessas atividades manter suas ferramentas atualizadas.

A recomendação de utilizar um Live CD, ou um pacote pronto de ferramentas, vale

para aqueles profissionais que não têm como atividade principal a realização de análise forense, desempenhando a atividade apenas em casos isolados. Nestes

casos, quando existir a necessidade de realizar uma análise forense, basta baixar

a última versão da distribuição definida como padrão, e todas as ferramentas estarão atualizadas.

Live CD Helix é uma distribuição específica para análise forense Contém ferramentas para análise e
Live CD
Helix é uma distribuição específica para análise forense
Contém ferramentas para análise e resposta a incidentes
em ambientes Linux, e um pacote de ferramentas para
análise em sistemas Windows que ainda estejam ligados.
Pode ser utilizado como um CD de boot em sistemas
desligados, ou montado em um sistema ligado para servir
como fonte de ferramentas para uma resposta inicial ao
incidente.
Utilizado por diversas instituições e grupos de análise
forense e de resposta a incidentes.

Em nosso curso utilizaremos o Helix, uma distribui-

ção específica para análise forense, baseada em uma versão altamente modificada do Knoppix Linux. Além de conter ferramentas para análise e resposta a incidentes em ambientes Linux, o Helix contém um pacote de ferramentas para análise em sistemas Windows que ainda estejam ligados. Ele foi modifi-

cado para garantir que nenhuma alteração seja feita ao sistema analisado. Pode ser utilizado como um

CD

de boot em sistemas desligados, ou montado

em

um sistema ligado para servir como fonte de

ferramentas para uma resposta inicial ao incidente. É utilizado por diversas instituições e grupos de análise forense e de resposta a incidentes, o que garante que esteja sempre atualizado.

Além das ferramentas que serão discutidas durante o curso, existem muitas outras presentes no CD que o aluno poderá utilizar, incluindo interfaces gráficas para algumas das ferramentas discutidas. No curso, examinaremos as ferramen- tas de comando de linha que permitem trabalhar em um nível mais baixo de opera- ção, e entender o real funcionamento de cada uma.

23

É importante deixar claro que o ambiente escolhido Live CD para resposta ao incidente ou
É
importante deixar claro que o ambiente escolhido
Live CD
para resposta ao incidente ou para a investigação
Além do Live CD, em nosso curso utilizaremos o VMWare, ambiente
virtual que simula um computador real, permitindo a execução de
praticamente qualquer sistema operacional.
Utilizaremos uma imagem do CD do Helix associada ao CD-ROM da
máquina virtual.
Configurações da máquina virtual:
256 MB de RAM
Disco rígido de 8 GB, para armazenar dados dos exercícios e servir
como exemplo
Imagem do Helix associada ao CD-ROM
Placa de rede host-only (só se conecta ao computador local)
Com o VMWare, podemos reverter o estado da máquina virtual para
estados anteriores, evitando assim a perda de dados proveniente de
comandos errados.
forense não deve de maneira nenhuma modificar
qualquer dado no sistema suspeito sem o conheci-
mento e controle do investigador. Por exemplo, uma
distribuição Linux normal, ao ser iniciada, vai tentar
montar qualquer dispositivo de disco presente na
máquina, e isso deve ser evitado a todo custo. Esta
é
a vantagem de utilizar uma distribuição específica
para análise forense.
uma distribuição específica para análise forense. Estações e servidores para computação forense
uma distribuição específica para análise forense. Estações e servidores para computação forense
uma distribuição específica para análise forense. Estações e servidores para computação forense
uma distribuição específica para análise forense. Estações e servidores para computação forense
uma distribuição específica para análise forense. Estações e servidores para computação forense

Estações e servidores para computação forense

forense. Estações e servidores para computação forense Duplicadores de HDs e equipamentos para bloqueio de escrita
forense. Estações e servidores para computação forense Duplicadores de HDs e equipamentos para bloqueio de escrita

Duplicadores de HDs e equipamentos para bloqueio de escrita em mídias digitais

Hardware forense

Há no mercado diversas soluções de hardware que podemos utilizar para realizar a duplicação e análise pericial. Estas ferramentas são mais completas e realizam cópias perfeitas das informações em uma imagem. Através da imagem, o perito realiza sua análise sem danificar as provas originais. Permitem

a duplicação em alta velocidade, com bloqueio físico de escrita, cálculo de hash MD5, SHA1, SHA2, emis- são de logs de operação etc.

Em plataformas integradas de processamento,

estes sistemas estão disponíveis em configurações móveis, estacionárias ou de laboratório, projetados para aquisição e exames de evidências. Possibilitam duplicar as evidências diretamente do HD IDE/SCSI/ SATA, disquetes, CD, DVD, ZIP driver, fita DAT 4MM

e PCCARD, SmartMedia, SD-MMC, Memory Stick, Compact Flash.

Duplicadores de HDs com suporte às principais interfaces, tais como: IDE, Enhanced IDE, Narrow SCSI, Wide SCSI, Ultra SCSI e SCA. Podem transferir dados de diferentes interfaces.

Duplicação em larga escala substitui com inúmeras vantagens os atuais processos de clonagem de discos via software. Ideal para operações de deploy- ment e fábricas de PCs.

Escola Superior de Redes RNP 24

Escola Superior de Redes RNP

24

Escola Superior de Redes RNP 24 Redes Wi-Fi Equipamento dedicado para análise de sinal WLAN 802.11

Redes Wi-Fi

Equipamento dedicado para análise de sinal WLAN 802.11 e ciências forenses. O foco do produto é a facilidade de uso e automação. É capaz de capturar todo o tráfego Wi-Fi num raio de 4 km fazendo uso simultâneo dos 14 canais de comunicação 802.11.

Wireless Wi-Fi

dos 14 canais de comunicação 802.11. Wireless Wi-Fi Celulares Completamente invisível na rede, permite o
dos 14 canais de comunicação 802.11. Wireless Wi-Fi Celulares Completamente invisível na rede, permite o

Celulares

Completamente invisível na rede, permite o armazenamento dos pacotes em padrões que podem ser usados por qualquer ferramenta de análise forense de rede. Realiza a decriptografia simultânea de WEP e WPA.

Celulares

\\XRY – A análise forense de aparelhos celulares ganha outra dimensão com o uso do .XRY. Incrivelmente rápido, seguro e prático de usar. O visualizador de dados é gratuito, permitindo a análise distribuída por uma equipe maior e o compartilhamento de informações.

\\SIM ID Cloner – Permite análise em celulares com chip bloqueado ou danificado.

Pacote forense Helix The Coroner's Toolkit Flag-Knoppix SMART Linux Comerciais FTK Forensic Toolkit EnCase
Pacote forense
Helix
The Coroner's Toolkit
Flag-Knoppix
SMART Linux
Comerciais
FTK Forensic Toolkit
EnCase
SMART Linux Comerciais FTK Forensic Toolkit EnCase Helix Pacote forense Helix Este software oferece aos

Helix

Pacote forense

Helix

Este software oferece aos profissionais da área a possibilidade de executar vários processos de análise forense computacional. Suporta diversos sistemas operacionais. Pode ser executado através de um sistema operacional ou antes do início do sistema operacional. Suas principais características são:

\\Suporte aos sistemas operacionais das plataformas Windows, Linux e Solaris;

\\Mostra informações do sistema, como: versão do sistema operacional, rede, discos, partições e o sistema de arquivos, além do tamanho;

\\Realiza cópia perfeita de disco e memória física, em outra área, como a rede ou em mídia removível;

\\Disponibiliza o acesso a vinte ferramentas de perícia forense computacional;

25

\\Possui algumas documentações a respeito de perícia forense computacional que podem ajudar o perito a desenvolver o seu trabalho;

\\Possui um navegador que possibilita expandir os discos e verificar algumas propriedades dos arquivos e pastas;

\\Contém uma ferramenta de procura rápida por imagens de diversos formatos no computador;

\\Possui um editor de texto para realizar anotações importantes sobre o que está sendo analisado.

FTK Forensic Toolkit

Oferece aos profissionais da área a habilidade de executar perícias completas nos computadores. Com esta ferramenta é possível customizar filtros que permitem a pesquisa em milhares de arquivos e encontrar a evidência rapidamente. O FTK é conhecido no mercado como uma das principais ferramentas de análise forense de e-mail. Suas principais características são:

FTK Forensic Toolkit

Suas principais características são: FTK Forensic Toolkit \\ Recuperação de e-mails excluídos; \\ Visualização de

\\Recuperação de e-mails excluídos;

\\Visualização de registros;

\\Gera auditoria de logs e relatórios de casos;

\\Recupera automaticamente arquivos excluídos e partições;

\\Visualiza mais de 270 formatos diferentes de arquivos;

\\O FTK Explorer permite que se navegue rapidamente pelas imagens encontradas;

Escola Superior de Redes RNP 26

Escola Superior de Redes RNP

26

\\Suporta vários sistemas de arquivos, como NTFS, FAT12, FAT16, FAT32, Linux Ext2 e Ext3;

\\Suporta os formatos de imagens de outros programas, como o EnCase;

\\É suportado por vários clientes de e-mail, como o Outlook, Outlook Express, Yahoo, Hotmail etc.

\\Pesquisa, visualiza, imprime e exporta mensagens de e-mails e anexos;

\\Extrai informações da maioria dos arquivos compactados.

EnCase Forensics

Ferramenta gráfica do setor de tecnologia da investigação forense de computado- res. Com uma interface de uso intuitivo, auxilia o perito na análise e aquisição dos dados, realiza busca em diversas mídias e gera documentação. O programa foi desenvolvido para atender a necessidade dos peritos em buscar informações no formato eletrônico, tais como e-mails e internet. Suas principais características são:

e-mails e internet. Suas principais características são: EnCase Forensics \\ Investigação reativa; \\ Provas não

EnCase Forensics

\\Investigação reativa;

\\Provas não repudiáveis;

\\Reforça metodologia internacional;

\\Acesso a informações escondidas;

\\Automatização de pesquisas;

\\Resposta a incidentes e combate a fraudes;

\\Investigação pró-ativa;

\\Resposta a incidentes após a última linha de defesa;

\\Documentação de incidentes;

\\Discrição;

\\Assertividade no processo de recuperação.

27

NetWitness

Ferramenta capaz de analisar o tráfego que flui na rede. Anos de colaboração com o departamento de inteligência dos EUA fizeram com que o NetWitness seja capaz de analisar grande volume de informação dinâmica, respondendo imediata- mente a ataques: quem fez o quê, onde, quando, como e por quê.

Net Witness

quem fez o quê, onde, quando, como e por quê. Net Witness Programas específicos O processamento

Programas específicos

O processamento de imagens está integrado aos sistemas de investigação mais avançados do mundo. O resultado dessa combinação é o enorme aumento de produtividade e expansão dos limites humanos, quando for necessário o processa- mento de grande quantidade de imagens.

Software para reconhecimento visual de imagens

de grande quantidade de imagens. Software para reconhecimento visual de imagens Ambiente e ferramentas de análise
Escola Superior de Redes RNP 28

Escola Superior de Redes RNP

28

Escola Superior de Redes RNP 28 Esteganografia Para exemplificar, veja as imagens da capa da revista

Esteganografia

Escola Superior de Redes RNP 28 Esteganografia Para exemplificar, veja as imagens da capa da revista

Para exemplificar, veja as imagens da capa da revista Time. A da esquerda é a original; a da direita contém uma informação secreta, que só poderá ser descoberta por quem tiver a senha e o programa apropriado.

Gargoyle Investigator Forensic

Busca a identificação de armas digitais em sistemas isolados. Compatível com imagens capturadas por EnCase, DD, FTK e outros. Expande a funcionalidade para busca em rede por toda a corporação, incluindo: Anti Forensics, Binary Editors, BotNets, Credit Card Fraud Tools, Denial of Service Tools, Encryption, Steganography, Exploit Scanners, File Splitters, Gaming Tools, Keyloggers, Spyware, Peer to Peer Communications, Password Crackers, Remote Access Tools, Trojans, Worms, Rootkits, Wired and Wireless Surveillance.

Stego realiza a detecção de esteganografia em imagens ou arquivos de áudio diretamente no sistema de arquivos, em HDs capturados ou pela internet. Realiza a análise detalhada e a busca dos arquivos altamente supeitos. Realiza ataques de dicionário e força bruta contra algoritmos conhecidos de esteganografia.

força bruta contra algoritmos conhecidos de esteganografia. Ultimate Toolkit contém várias ferramentas necessárias
força bruta contra algoritmos conhecidos de esteganografia. Ultimate Toolkit contém várias ferramentas necessárias

Ultimate Toolkit contém várias ferramentas necessárias para investigação e perícia de computadores e outras evidências digitais. Dentre as principais, desta- camos: Forensic Toolkit, Registry Viewer, Password Recovery Toolkit e Distributed Network Attack. Rainbow Tables é uma ferramenta de ataque pré-computado de força bruta que reduz o tempo de quebra de chaves de criptografia de 40 bits para segundos. Um ataque de força bruta sobre uma chave de 4 bits deve processar 1 trilhão de possibilidades, e um Pentium IV processando 500.000 combinações por segundo levaria 25 dias para completá-lo. Com Rainbow Tables você pode decriptografar um documento de Word em segundos ou minutos, ao invés de dias.

Mercury encontra as evidências de maneira rápida. Integrado ao EnCase Forensics, indexa o arquivo de evidências e permite buscas avançadas por pala- vras-chaves, proximidade, combinações etc. Pode ser distribuído para pessoas que não possuem conhecimento técnico, aumentando a produtividade da equipe de investigação.

técnico, aumentando a produtividade da equipe de investigação. Análise forense – Sessão de aprendizagem 2

29

Preparação da investigação No atendimento inicial a um incidente, o investigador deve: Coletar o máximo
Preparação da investigação
No atendimento inicial a um incidente, o investigador
deve:
Coletar o máximo possível de evidências
Comprovar o incidente
Conter possíveis ataques originados no sistema
comprometido
Como fazer tudo isso, minimizando a perda de dados?
Nesta hora, a utilização de um checklist pode ajudar,
principalmente se o sistema ainda estiver ligado.
A resposta precisa ser rápida e precisa.
Preparação da investigação Primeira ação: preparar as ferramentas e dispositivos para a coleta das evidências.
Preparação da investigação
Primeira ação: preparar as ferramentas e dispositivos
para a coleta das evidências.
Coletar primeiro as informações mais voláteis:
Memória RAM, informações de rede, processos em
execução, cópia do disco rígido, logs, históricos;
Possuir equipamentos de armazenagem e de rede
para comunicação com o sistema suspeito.
Durante o curso, vamos utilizar o Live CD do Helix em
um sistema virtual, como por exemplo no atendimento
a incidentes em sistemas ligados.
Preparação do ambiente Inicialmente, preparemos o ambiente que vamos utilizar durante o atendimento ao incidente:
Preparação do ambiente
Inicialmente, preparemos o ambiente que vamos
utilizar durante o atendimento ao incidente:
# fdisk –l
Disk /dev/sda: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Device Boot
Start
End
Blocks
Id System
/dev/sda1
1
32
257008+ 82 Linuxswap
/dev/sda2
33
64
257040
83
Linux
/dev/sda3
65
1044
7871850
5 Extended
/dev/sda5
65
1044
7871818+ 83 Linux
# mkdir /data
# mount /dev/sda5 /data

Preparação da investigação

A primeira ação é preparar as ferramentas e disposi-

tivos para a coleta das evidências.

Ao investigar um sistema possivelmente compro- metido que esteja ligado, o investigador deve se preocupar em coletar primeiro as informações mais voláteis, como memória RAM, informações de rede,

processos em execução, cópia do disco rígido, logs

e históricos.

Normalmente, o investigador vai ter a sua disposição equipamentos de armazenagem e de rede para se comunicar com o sistema suspeito.

Durante o curso, utilizaremos o Live CD do Helix em um sistema virtual, como por exemplo no atendi- mento a incidentes em sistemas ligados.

Preparação do ambiente