Escolar Documentos
Profissional Documentos
Cultura Documentos
LONDRINA-PR 2004
Monografia apresentada ao Curso de Especializao em Redes de Computadores e Comunicao de Dados, da Universidade Estadual de Londrina, como requisito parcial para a obteno do ttulo de Especialista, sob orientao do Prof. Dr. Alan Salvany Felinto.
LONDRINA-PR 2004
Rodrigues, Wagner de Paula Anlise Pericial em Sistema Operacional MS-Windows 2000 / Wagner de Paula Rodrigues. -- Londrina: UEL / Universidade Estadual de Londrina, 2004. ix, 70f. Orientador: Alan Salvany Felinto Dissertao (Especializao) UEL / Universidade de Londrina, 2004. Referncias bibliogrficas: f. 35-36 1. Percia. 2. Segurana. 3. Redes 4. Computador Monografia. I. Rodrigues, Wagner de Paula. II. Universidade Estadual de Londrina Especializao em Redes de Computadores e Comunicao de Dados, III. Anlise Pericial em Sistema Operacional MS-Windows 2000.
Esta monografia foi julgada adequada para obteno do ttulo de Especialista, e aprovada em sua forma final pela Coordenao do Curso de Especializao em Redes de Computadores e Comunicao de Dados, do Departamento de Computao da Universidade Estadual de Londrina.
Banca Examinadora:
DEDICATRIA
Dedico este trabalho minha esposa Rosimara e minha filha Laila, que por muitas vezes compreenderam minha ausncia. Ao meu irmo Prof. Vander, que pelos seus referenciais e sem intervir, me mostrou os valores de realizar minha ps-graduao. E principalmente aos meus pais Antonio e Catarina (in memorian) que partiram, mas me deixaram como herana o valor que deve ser dado busca pelo conhecimento, embora eles no estejam presentes fisicamente, sempre se fazem presentes em meu corao.
AGRADECIMENTOS
Seriam muitas pessoas a relacionar neste espao, mas no posso deixar de citar os seguintes: a) Minha esposa Rosimara, que me apoiou desde o nicio; b) Minha filha Laila que por muitas vezes deixei de me divertir com ela em prol deste projeto; c) Ao orientador Prof. Dr. Alan Salvany Felinto; d) A todos os meus amigos que no pude enumerar; e) Ao Grande Pai e proprietrio de todo conhecimento, por ter me dado a permisso de usar parte deste conhecimento para a elaborao deste projeto.
Quem perde seus bens perde muito; quem perde um amigo perde mais; mas quem perde a coragem perde tudo. Miguel de Cervantes
RESUMO
Devido aos inmeros tipos de ataques sofridos em equipamentos ligados Internet, sejam eles vindos de rede interna ou externa, faz-se necessrio preparar o ambiente para que possa ser realizada a percia em caso de ataques bem sucedidos, para que seja possvel em uma segunda fase, realizar uma auditoria em um sistema-alvo. O objetivo deste trabalho o de apresentar algumas informaes para serem utilizadas na criao deste ambiente formal, e tambm algumas ferramentas que possibilitem a realizao de auditoria. De forma alguma ser aqui esgotado a abordagem para este item, mas sim reunir alguns dos conceitos disponveis e permitir o entendimento dos mesmos.
Abstract
Had to the innumerable types of attacks suffered in on equipment to the InterNet, they are come they of internal or external net, becomes necessary to prepare the environment so that the skill in case of successful attacks can be carried through, so that it is possible in one second phase, to carry through an auditorship in a systemtarget. The objective of this work is to present some information to be used in the creation of this formal environment, and also some tools that make possible the auditorship accomplishment. Of form some here will be depleted the boarding for this item, but yes to congregate some of the available concepts and to allow the agreement of the same ones.
SUMRIO
1. INTRODUO................................................................................................................... 10 1.1. Organizao do trabalho........................................................................................... 11 2. A PERCIA FORENSE ..................................................................................................... 12 2.1. Percia aplicada ambientes de rede .................................................................... 14 2.2. Anlise Pericial ........................................................................................................... 14 2.3. Anlise Fisca ............................................................................................................. 15 2.4. Anlise Lgica ............................................................................................................ 17 2.5. Fontes de Informao ............................................................................................... 18 3. PADRONIZAO ............................................................................................................. 20 3.1. Entidades..................................................................................................................... 21 3.2. Padronizao Internacional ...................................................................................... 22 3.3. Padronizao Nacional ............................................................................................. 22 4. OBTENO DE EVIDNCIAS....................................................................................... 24 4.1. Identificao ................................................................................................................ 26 4.2. Preservao ................................................................................................................ 26 4.3. Apresentao .............................................................................................................. 26 4.4. Anlise ......................................................................................................................... 27 4.4.1. Live Analisys ........................................................................................................ 27 4.4.2. Anlise Postmortem ou Off-line ........................................................................ 44 5. A INVESTIGAO ........................................................................................................... 49 5.1. O alerta ........................................................................................................................ 49 5.2. A busca pelas evidncias ......................................................................................... 49 5.3. A vulnerabilidade ........................................................................................................ 60 5.4. O Ataque ..................................................................................................................... 60 6. CONCLUSO .................................................................................................................... 66 7. APNDICE A ..................................................................................................................... 67 REFERNCIAS ..................................................................................................................... 69
10
1. INTRODUO
Atualmente, a Informtica tornou-se parte da vida de todos. Ela est presente em lojas, supermercados, lanchonetes, escritrios, empresas e tambm nas escolas. Mas, como melhorar a segurana da informao, proteger nossos ativos e preparar um ambiente para a realizao de percia ou auditoria utilizando os benefcios disponveis? Na 9 Pesquisa Nacional de Segurana da Informao realizada pela empresa Mdulo Security foram apresentados alguns resultados que nos levam a refletir sobre os riscos que esto volta dos computadores pessoais e corporativos. Nesta pesquisa temos a apresentao de apontadores que ratificam como grandes desafios: o crescimento dos problemas de segurana a cada ano, acompanhando o crescimento de ataques, a evoluo da tecnologia e o aumento dos investimentos dos setores na segurana da informao. Alguns itens que chamam a ateno so os seguintes: a) 78 % dos entrevistados apontam que em 2004 as ameaas, riscos e ataques devero aumentar; b) 26 % das empresas no conseguem nem sequer identificar os responsveis pelos ataques; c) 60 % indicam a Internet como principal ponto de invaso em seus sistemas. Observando estes nmeros, percebemos o quo importante preparar o ambiente dos servidores e estaes, sejam elas de redes corporativas ou isoladas em residncias, para uma possvel percia ou auditoria em caso de invaso
11
ou comprometimento da mesma devido a um ataque, seja ele vindo de uma rede interna ou externa.
No Captulo 2 so apresentados os conceitos sobre percia forense, estabelecendo uma ligao para o tema especifico que percia forense aplicada redes e computadores, tambm apresentado conceitos sobre evidncia, prova e anlises. Aps definir os conceitos de percia, no Captulo 3 so apresentados os conceitos internacionais e nacionais de padronizao para a realizao de anlises periciais, sendo tambm abordado as entidades envolvidas nas aes de padronizao. Como necessrio o uso adequado de ferramentas para uma anlise pericial, no Capitulo 4 apresentado s caractersticas de anlises em sistemas ao vivo (Live Analisys), bem como em sistema off-line (Postmortem) e as ferramentas a serem utilizadas para a tarefa de anlise em cada um dos casos. Finalizando, no Captulo 5 so apresentadas as vrias fases de uma anlise de um sistema Windows 2000 violado por meio de exploits, apresentando o uso das ferramentas e os mtodos utilizados para obteno dos dados para a resposta ao incidente.
12
2. A PERCIA FORENSE
Podemos definir que a percia forense aplicada redes, como um estudo do trfego de rede a fim de buscar a verdade em vrias esferas, sejam elas, cveis, criminais ou administrativas. O objetivo fim proteger o usurio e os recursos passveis de explorao, invaso de privacidade ou qualquer outro crime que possa vir a ser aplicado devido ao crescimento das tecnologias em redes que temos acesso. Temos ainda dois conceitos comuns que devem ser apresentados antes de tratarmos a percia dentro do escopo computacional: Percia Forense: quando observamos a palavra percia forense, sempre nos remetemos aos crimes comuns, onde so apresentados os mtodos a serem utilizados na busca por algo que leve a encontrar o responsvel pelo mesmo, sendo que estes mtodos so padres aceitos para que seja possvel identificar uma marca, um fio de cabelo, uma impresso digital ou qualquer indcio que possa levar soluo do crime em questo. O sucesso desta anlise est na adoo de trs regras bsicas: isolamento do permetro para evitar a contaminao do local do crime, identificao, coleta de dados e materiais que possam ter alguma relao com o crime e aps estas duas etapas, passa-se a realizar as anlises laboratoriais. Para que esta analise seja eficaz, vrias fases ou etapas de processo sero executadas, sendo
13
que elas diferem conforme o tipo de material ou dado a ser analisado. A partir deste ponto j temos a informao para realizar uma anlise, sendo que no caso de uma evidncia digital teremos um ciclo de processos especficos.
Evidncia Digital: tem sido definido que todos os dados que funcionem de forma a estabelecer que um crime foi cometido ou que possa fornecer uma ligao entre um crime e sua vtima seria uma evidncia digital. H tambm a definio proposta pelo Standard Working Group on Digital Evidence em que toda informao de valor verdadeiro que armazenado ou transmitido em um formato digital uma evidncia digital. Muitas outras definies so abordadas na literatura mundial, mas ficarei apenas nestas duas
apresentaes por entender que elas j transmitem uma viso do contexto de forma clara. Uma regra que deve ser seguida como boa prtica a Regra da Melhor Prova, onde realizase uma cpia fiel do sistema por meio de ferramentas de sistema e software pericial, introduzindo tais informaes nos procedimentos jurdicos, contanto que as mesmas no tenham sido obtidas de forma contrria lei, como por exemplo, cpia de uma rea de disco realizada remotamente por meio de invaso.
14
Segundo [Thorton], a cincia forense aquela exercida em favor da lei para uma justa resoluo de um conflito. Pode-se ento dizer, que a cincia forense, em sua origem, baseia-se em procedimentos cientficos para a obteno de informaes que possam ser teis durante uma disputa judicial. Devido ao aumento do uso cotidiano do computador e da Internet por parte das empresas e usurios domsticos, fez com que surgissem crimes que explorassem esse novo tipo de comportamento. So crimes praticados por criminosos que de posse deste novo recurso, se propuseram aprender novas tcnicas e mtodos de roubo, ou, em sua maioria, por pessoas de conduta aparentemente ntegra no mundo real, mas que buscam se beneficiar do virtual anonimato conferido pela Rede, para praticar atos ilcitos. A fim de que as agncias legais pudessem lidar com este novo tipo de crime e ajudar a justia a condenar estes criminosos, criou-se a forense computacional. Segundo Noblett (2000), a forense computacional pode ser definida como sendo a cincia de adquirir, preservar, recuperar e exibir dados que foram eletronicamente processados e armazenados digitalmente. Assim como ocorre nas outras disciplinas forenses, o processo de anlise no meio computacional metdico e deve seguir procedimentos previamente testados e aceitos pela comunidade cientfica internacional, de forma que todos os resultados obtidos durante uma anlise sejam passveis de reproduo.
A anlise pericial o processo usado pelo investigador para descobrir informaes valiosas, a busca e extrao de dados relevantes para uma
15
investigao. O processo de anlise pericial pode ser dividido em duas camadas : anlise fsica e anlise lgica. A anlise fsica a pesquisa de seqncias e a extrao de dados de toda a imagem pericial, dos arquivos normais s partes inacessveis da mdia. A anlise lgica consiste em analisar os arquivos das parties. O sistema de arquivos investigado no formato nativo, percorrendo-se a rvore de diretrios do mesmo modo que se faz em um computador comum.
Durante a anlise fsica so investigados os dados brutos da mdia de armazenamento. Ocasionalmente, pode-se comear a investigao por essa etapa, por exemplo quando se est investigando o contedo de um disco rgido desconhecido ou danificado. Depois que o software de criao de imagens tiver fixado as provas do sistema, os dados podem ser analisados por trs processos principais : uma pesquisa de seqncia, um processo de busca e extrao e uma extrao de espao sub-aproveitado e livre de arquivos. Todas as operaes so realizadas na imagem pericial ou na copia restaurada das provas. Com freqncia , se faz pesquisas de seqncias para produzir listas de dados . essas listas so teis nas fases posteriores da investigao. Entre as listas geradas esto as seguintes : Todos os URLs encontrados na mdia. Todos os endereos de e-mail encontrados na mdia. Todas as ocorrncias de pesquisa de seqncia com palavras sensveis a caixa alta e baixa.
16
O primeiro processo da anlise fsica a pesquisa de seqncias em todo o sistema. Uma das ferramentas de base DOS mais precisa o StringSearch. Ela retorna o contedo da pesquisa de seqncia e o deslocamento de byte do incio do arquivo. Quando se examinam os resultados da pesquisa de seqncias, tem-se um prtico roteiro para converter o deslocamento em um valor de setor absoluto. Alguns tipos de caso podem beneficiar-se de uma forma especializada de pesquisa de seqncia , o processo de busca e extrao. Este o segundo dos trs que se usa durante a analise fsica. O aplicativo analisa uma imagem pericial em busca de cabealhos dos tipos de arquivos relacionados ao tipo de caso em que se estiver trabalhando. Quando encontra um, extrai um nmero fixo de bytes a partir do ponto da ocorrncia. Por exemplo, se estiver investigando um indivduo suspeito de distribuio de pornografia ilegal, analisa-se a imagem pericial e se extrai blocos de dados que comeam com a seguinte seqncia hexadecimal: $4A $46 $49 $46 $00 $01 Esta seqncia identifica o incio de uma imagem JPEG. Alguns formatos de arquivos (entre eles o JPEG) incluem o comprimento do arquivo no cabealho. Isto muito til quando se est extraindo dados brutos de uma imagem pericial. Esta capacidade de extrao forada de arquivos incrivelmente til em sistemas de arquivos danificados ou quando os utilitrios comuns de recuperao de arquivos apagados so ineficientes ou falham completamente. At certo ponto, todos os sistemas de arquivos tm resduos. Os tipos de resduo se enquadram em duas categorias : espao livre, ou no-alocado, e espao subaproveitado.
17
O espao livre qualquer informao encontrada em um disco rgido que no momento no esteja alocada em um arquivo. O espao livre pode nunca ter sido alocado ou ser considerado como no-alocado aps a excluso de um arquivo. Portanto, o contedo do espao livre pode ser composto por fragmentos de arquivos excludos. O espao livre pode estar em qualquer rea do disco que no esteja atribuda a um arquivo nativo, como um bloco de dados vazio no meio da terceira partio ou no 4253o setor no-atribudo da unidade, que no faz parte de uma partio por estar entre o cabealho e a primeira tabela de alocao de arquivos. Informaes de escritas anteriores podem ainda estar nessas reas e ser inacessveis para o usurio comum. Para analisar o espao livre preciso trabalhar em uma imagem do nvel fsico. O espao subaproveitado ocorre quando dados so escritos na mdia de armazenamento em blocos que no preenchem o tamanho de bloco mnimo definido pelo sistema operacional. Se decidir extrair o espao de arquivos subaproveitados e livre, isto torna-se o terceiro processo de anlise fsica mais importante. Esse processo exige uma ferramenta que possa distinguir a estrutura particular de sistema de arquivos em uso.
Durante um exame de arquivos lgicos, o contedo de cada partio pesquisada com um sistema operacional que entenda o sistema de arquivos. neste estgio que cometido a maioria dos erros de manipulao das provas. O investigador precisa estar ciente de todas as medidas tomadas na imagem restaurada. por isto que quase nunca se usa diretamente sistemas operacionais
18
mais convenientes, como o Windows 95/98/NT/2000/XP. Mais uma vez, o objetivo bsico proteger as provas contra alteraes. Montar ou acessar a imagem restaurada a partir de um sistema operacional que entenda nativamente o formato do sistema de arquivos muito arriscado, pois normalmente o processo de montagem no documentado, no est disposio do pblico e no pode ser verificado. Uma forma de realizar isto montar cada partio em Linux, em modo somente leitura. O sistema de arquivos montado ento exportado, via Samba, para a rede segura do laboratrio, onde os sistemas Windows 2000 ou 2003, carregados com visualizadores de arquivos, podem examinar os arquivos. Como referenciado, esta abordagem ditada pelo prprio caso. Se fizer uma duplicata pericial de um sistema Irix 6.5, provvel que se evite usar o Windows 2000 para visualizar os dados.
Pode ser dividido em trs locais onde pode-se descobrir informaes valiosas para uma investigao: Espao de arquivos lgicos: Refere-se aos blocos do disco rgido que, no momento do exame, esto atribudos a um arquivo ativo ou estrutura de contabilidade do sistema de arquivos (como as tabelas FAT ou as estruturas inode). Espao subaproveitado: Espao formado por blocos do sistema de arquivos parcialmente usados pelo sistema operacional. Chamamos todos os tipos de resduo de
19
arquivos, como a RAM e os arquivos subaproveitados, de espao subaproveitado. Espao no-alocado: Qualquer setor no tomado, esteja ou no em uma partio ativa. Para fins de ilustrao, os dados de um disco rgido foram divididos em camadas parecidas s do modelo de rede OSI. Encontram-se informaes com valor de provas em todas essas camadas. O desafio encontrar a ferramenta certa para extrair as informaes. A tabela 1 mostra as relaes entre setores, clusters, parties e arquivos. Isso ajuda a determinar o tipo de ferramenta a ser usada para extrair as informaes. Cada camada do sistema de arquivos tem um fim definido, para o sistema operacional ou para o hardware do computador.
Camada do sistema de arquivos Armazenamento de aplicativos Classificao de informaes Alocao de espao de armazenamento Formato de blocos Classificao de dados Fsica Localizao de provas em DOS ou Windows Arquivos Diretrios e pastas FAT Clusters Parties Setores absolutos ou C/H/S Localizao de provas em Linux Arquivos Diretrios Inode e bitmaps de dados Blocos Parties Setores absolutos
20
3. PADRONIZAO
A identificao de recursos dentro de uma organizao que possam ser usados como evidncia computacional um antigo problema encontrado pelas instituies competentes, isto porque tais recursos normalmente ficam espalhados entre as agncias. Atualmente parece existir uma tendncia mudana desses exames para o ambiente laboratorial. O servio secreto norte americano realizou uma pesquisa, em 1995, na qual foi constatado que 48% das agncias tinham laboratrios de forense computacional e que 68% das evidncias encontradas foram encaminhadas a peritos nesses laboratrios e, segundo o mesmo documento, 70% dessas mesmas agncias fizeram seu trabalho sem um manual de procedimentos, conforme descrito por Noblett (1995). Para desenvolver protocolos e procedimentos, faz-se necessrio estabelecer polticas para a manipulao de uma evidncia computacional. Tais polticas devem refletir um consenso da comunidade cientfica internacional, provendo resultados vlidos e reproduzveis. Levando em considerao que a forense computacional diferente das outras disciplinas forenses, uma vez que no se pode aplicar exatamente o mesmo mtodo a cada caso, como citado por Noblett (1995). A ttulo de exemplo temos como estudo de caso a anlise feita no DNA recolhido de uma amostra de sangue na cena de um crime, pode-se aplicar exatamente o mesmo protocolo a toda amostra de DNA recebida (elimina-se as impurezas e o reduz sua forma elementar). Noblett (1995) relata que, quando se tratam de ambientes computacionais no se pode executar o mesmo procedimento
21
em todos os casos, uma vez que se tm sistemas operacionais e mdias diferentes e diversas aplicaes.
3.1. Entidades
IOCE (International Organization on Computer Evidence): Entidade internacional centralizadora dos esforos de padronizao. Ela foi estabelecida em 1995 com o objetivo de facilitar a troca de informaes, entre as diversas agncias internacionais, sobre a investigao de crimes envolvendo computadores ou outros assuntos relacionados a forense em meio eletrnico. Estabelecendo uma harmonizao dos mtodos e prticas a fim de garantir a habilidade de usar a evidncia digital coletada em qualquer jri, independente do estado em que o mesmo se encontra. SWGDE (Scientific Working Group on Digital Evidence): Criado em 1998, ele o representante norte-americano nos esforos de padronizao conduzidos pela IOCE; HTCIA (High Technology Crime Investigation Association): Organizao sem fins lucrativos que visa discutir e promover a troca de informaes que possam auxiliar no combate ao crime eletrnico; IACIS (International Association of Computer Investigatibe Specialists): Trata-se de uma associao sem fins lucrativos, composta por voluntrios com o intuito de atuar no treinamento em forense computacional; SACC (Seo de Apurao de Crimes por Computador): Atua no mbito do Instituto Nacional de Criminalstica/Polcia Federal, a fim de dar suporte
22
tcnico s investigaes conduzidas em circunstncias onde a presena de informao em formato digital constatada;
A partir do crescimento da Internet e da consolidao do mundo globalizado, comeamos a ter crimes que extrapolam os limites da jurisdio nacional, passando a no ter fronteiras limitadas fisicamente, obrigando as agncias legais de vrios pases definirem mtodos comuns para o tratamento de evidncias eletrnicas. Como cada pas tem sua prpria legislao e no seria possvel a definio de normas globais para contemplar todos os pases, mas busca-se uma padronizao para a troca de evidncias entre paises. Atualmente j existem padres definidos e sendo aplicados de forma experimental. Eles foram desenvolvidos pelo SWGDE e apresentados na International Hi-Tech Crime and Forensics Conference (IHCFC), que foi realizada em Londres, de 4 a 7 de outubro de 1999. Os padres desenvolvidos pelo SWGDE seguem um nico princpio, o de que todas as organizaes que lidam com a investigao forense devem manter um alto nvel de qualidade a fim de assegurar a confiana e a exatido das evidncias. Em SWGDE (2000), foi apresentado mtodos de busca desse nvel de qualidade pode, atingindo o mesmo atravs da elaborao de SOPs (Standard Operating Procedures), que devem conter os procedimentos para todo tipo de anlise conhecida, e prever a utilizao tcnicas, equipamentos e materiais largamente aceitos pela comunidade cientfica (Apndice A)
23
No Brasil ainda no possumos uma padronizao, apenas trabalhos feitos a pedido da polcia federal, alguns trabalhos acadmicos e alguns direcionados ao pblico leigo. Algumas das instituies que esto envolvidas em um esforo de padronizao nacional so: NBSO (Network Information Center (NIC) - Brazilian Security Office): atua coordenando as aes e provendo informaes para os sites envolvidos em incidentes de segurana; CAIS (Centro de Atendimento a Incidentes de Segurana): tem por misso o registro e acompanhamento de problemas de segurana no backbone e PoPs da RNP, bem como a disseminao de informaes sobre aes preventivas relativas a segurana de redes; GT-S: grupo de trabalho em segurana do comit gestor da internet brasileira.
24
4. OBTENO DE EVIDNCIAS
Quando tratamos de anlise forense de ambientes Windows, seguimos alguns princpios bsicos que so comuns s anlises de qualquer plataforma computacional e que foram originalmente herdados de bases da Cincia Forense em geral. Basicamente estes princpios esto fundamentados em mtodos que buscam dar credibilidade aos resultados, fornecendo mecanismos para a verificao da integridade das evidncias e da corretude dos procedimentos adotados. A rigorosa documentao das atividades fundamental para que uma anlise possa ser aceita, mesmo que o stress causado por um incidente de segurana, tornem difcil atividade de documentar as decises e aes, o que pode prejudicar uma futura ao judicial contra os responsveis, pois pode inviabilizar uma avaliao do tratamento dado s evidncias. Alm da correta documentao, pode-se citar mais alguns princpios das demais disciplinas forenses que foram herdados pelo meio computacional: Rplicas: realizar a duplicao pericial completa sempre recomendvel para que seja possvel a repetio dos processos e a busca da confirmao dos resultados, sem que ocorra o dano evidncia original, devido a algum erro do examinador. Normalmente necessrio a obteno de uma imagem bit-a-bit dos sistemas. Tarefa esta, que muitas vezes toma um grande tempo.;
25
Garantia
de
Integridade:
deve
haver
procedimentos
previamente determinados que visem garantir a integridade das evidncias coletadas. No mundo real as evidncias so armazenadas em ambientes cuja a entrada restrita, so tiradas fotos, minuciosas descries das peas so escritas com o intuito de verificar sua autenticidade posteriormente. No mundo virtual a autenticidade e a integridade de uma evidncia podem ser verificadas atravs da utilizao de algoritmos de hash criptogrfico como o MD5, SHA-1 e o SHA-2. Alm disso possvel armazen-las em mdias para somente leitura, como CD-ROMs; Ferramentas Confiveis: no h como garantir a
confiabilidade dos resultados obtidos durante uma anlise se os programas utilizados no forem comprovadamente
idneos. O mesmo ocorre no mundo real onde os experimentos de uma anlise laboratorial devem ser
conduzidos em ambientes controlados e comprovadamente seguros a fim de que os resultados no possam ser contaminados por alguma influncia externa; Ainda fazendo referncia documentao tem-se quatro pontos fundamentais a serem tratados: Identificao, Preservao, Anlise e por fim a Apresentao, que no ser tratada com detalhamento neste trabalho.
26
4.1. Identificao
Dentre os vrios fatores envolvidos no caso, necessrio estabelecer com clareza quais so as conexes relevantes como datas, nomes de pessoas, empresas, rgos pblicos, autarquias, instituies etc., dentre as quais foi estabelecida a comunicao eletrnica. Discos rgidos em computadores podem trazer a sua origem (imensas quantidades de informaes) aps os processos de recuperao de dados.
4.2. Preservao
Todas as evidncias encontradas precisam obrigatoriamente ser legtimas, para terem sua posterior validade jurdica. importante sempre lembrar de proteger a integridade dos arquivos recuperados durante a resposta. Sendo assim, todo o processo relativo obteno e coleta das mesmas, seja no elemento fsico (computadores) ou lgico (mapas de armazenamento de memria de dados) deve seguir normas internacionais. Deve-se sempre estar atento ao quesito contraprova, pois a outra parte envolvida poder solicitar a mesma a qualquer tempo do processo, lembrando sempre que, caso o juiz no valide a evidncia, ela no poder ser re-apresentada.
4.3. Apresentao
Tecnicamente chamada de substanciao da evidncia, ela consiste no enquadramento das evidncias dentro do formato jurdico como o caso ser ou poder ser tratado. Os advogados de cada uma das partes ou mesmo o juiz
27
do caso podero enquadr-lo na esfera civil ou criminal ou mesmo em ambas. Desta forma, quando se tem a certeza material das evidncias, atua-se em conjunto com uma das partes acima descritas para a apresentao das mesmas.
4.4. Anlise
Aqui est concentrada a pesquisa propriamente dita, onde todos os filtros de camadas de informao j foram transpostos e pode-se deter especificamente nos elementos relevantes ao caso em questo. importante manter o foco ao solicitado, pois muitas vezes, durante a anlise, depara-se com novas fontes de dados que podem levar a outras vertentes, fazendo com que esta mudana de foco, prejudique a percia podendo at anular todo o trabalho pericial, devido ao abuso na coleta de provas. O profissionalismo essencial quando se trata na obteno da chamada prova legtima, a qual consiste numa demonstrao efetiva e inquestionvel dos rastros e elementos da comunicao entre as partes envolvidas e seu teor, alm das datas, trilhas, e histrico dos segmentos de disco utilizados.
Pode-se definir a live analysis como sendo aquela efetuada em um sistema vtima de algum incidente de segurana sem que, anteriormente, tenha sido executado qualquer procedimento para seu desligamento. s vezes, tal
procedimento precisa ir alm de apenas obter as informaes volteis. Desligar o sistema pode resultar na paralisao de um servio essencial, portanto, muitas
28
vezes faz-se necessrio descobrir provas e remover de maneira apropriada os programas marginais sem a interrupo de qualquer servio oferecido pela mquina. Neste tipo de procedimento algumas etapas devem ser seguidas: Coletar os dados mais volteis; Reunir as informaes, vindas principalmente dos logs de eventos e do registro do sistema-alvo; Devido a possveis problemas que podero surgir durante este trabalho, importante a elaborao de um CD, contendo um kit de resposta, para que o trabalho no seja prejudicado pela ineficincia no uso das ferramentas disponveis. Uma maneira de descobrir quais DLLs um programa necessita para ser executado atravs da utilizao do Dependecy Walker (depends.exe). Esta ferramenta vem com o Resource Kit do W2k e analisa toda a rvore de dependncias de determinado software, podendo exibir inclusive quais funes so utilizadas e exportadas em cada biblioteca. Outra alternativa o listdlls.exe1, desenvolvido por Mark
Russinovich. Esta ferramenta capaz de listar todas as bibliotecas que esto sendo utilizadas por determinado processo. Desta forma, necessrio executar a ferramenta a ser analisada, posteriormente utilizar o listdlls.exe, para obter-se a listagem de DLLs necessrias. O listdlls tambm pode ser til durante a live analysis, na qual pode ser utilizado para investigar algum processo suspeito em uma mquina invadida. A utilizao de bibliotecas necessrias execuo dos programas ser importante para situaes onde uma das ferramentas a serem utilizadas durante a anlise necessite de uma biblioteca que j esteja na memria, nesta
29
situao ela no ser carregada novamente, fazendo com que a DLL presente no CD seja ignorada e abrindo uma brecha para a produo de falsos resultados. Uma soluo para evitar o acesso a tais bibliotecas eliminar todo acesso bibliotecas dinmicas atravs de compilao esttica de todas as ferramentas a serem utilizadas, mas como poucas ferramentas para a plataforma Windows possuem cdigo aberto, tal soluo fica inviabilizada. A anlise ao vivo representa um grande problema para a percia em ambientes Windows 2000. A seguir sero apresentadas algumas ferramentas que podero compor o CD de kit de reposta para a percia deste ambiente. Inicialmente, seguindo as duas etapas citadas acima, sero coletados os dados mais volteis: Execute a data e hora para encaixar a resposta entre a hora inicial e final, isto para garantir a correlao entre os logs do sistema e os logs baseados em rede; Utilizar o loggedon para identificar quem est conectado ao sistema; Utilizar o netstat para visualizar as conexes atuais; Utilizar o pslist para identificar todos os processos em execuo; Utilizar o fport para identificar quais programas abriram portas especficas. Aps isto ser feito poder seguir os passos seguintes de forma mais livre em busca de pistas no sistema. a) Logs
30
Os logs mostram informaes sobre o passado do sistema-alvo, tornando uma das melhores fontes de informao, tais informaes podem ser o diferencial entre o sucesso e o fracasso de uma auditoria. O Windows 2000 possue trs tipos de log: o System log, Application log e Security log, sendo possvel obter informaes como: Determinar quais usurios tm acessado determinados arquivos; Determinar quais usurios tm feito logon no sistema; Determinar falhas no logon de usurios; Monitorar o uso de determinadas aplicaes; Monitorar mudanas nas permisses de usurios.
AuditPol: Para a busca de informaes sobre as diretivas de auditoria existentes no sistemas ser utilizado a ferramenta AuditPol constante no pacote NT Resource Kit. Na figura abaixo mostrado a ferramenta AuditPol em uso:
NTLAST: Desenvolvido por J.D. Glaser (Foundsone), ela permite monitorar logins bem ou mal sucedidos a um sistema, caso a auditoria Logon ou Logoff esteja ativada. Um dos objetivos do uso desta ferramenta a busca de contas de usurios e sistema remotos suspeitos que acessam ao sistema-alvo.
31
Nesta prxima figura apresentado o uso do ntlast para listar todos os logons fracassados.
importante recuperar todos os logs para anlise off-line, para tanto pode ser usado o prprio Event Viewer, mas o mesmo permite uma consulta de forma aleatria, as ferramentas dumpel e netcat permite recuperar logs remotos. Dumpel: Ferramenta constante no NTRK, ela permite obter logs de evento do sistema-alvo, esvaziando todo o log de segurana, com tabs como delimitador.
32
Event Viewer: possvel utilizar esta ferramenta para visualizar os logs locais, bem como os remotos. Para a visualizao de logs remotos basta ir em Log | Select Computer, mas para isto ser necessrio ter uma conexo via conta de administrador, conforme apresentado abaixo. No recomendvel o acesso remoto aos logs, pois se a mquina ou a rede estiver comprometida, esta no seria uma metodologia segura para a resposta a incidentes.
33
Dir: Apesar do comando dir ser utilizado normalmente apenas para listar arquivos ou pastas, o mesmo pode ser utilizado para obter informaes mais interessantes, como por exemplo o horrio de modificao, criao e acesso aos arquivos. Abaixo temos trs exemplos do uso do comando:
34
Doskey: o comando doskey permite exibir o histrico de comandos do Shell de comandos atuais em um sistema. possvel utilizar o comando doskey /history para controlar comandos executados no sistema durante uma resposta;
Figura 4.11 Uso do doskey para registrar as etapas seguidas no processo de auditoria
At: a documentao das tarefas agendadas no Task Scheduler, pode ser obtida utilizando o comando nativo at. Esta busca importante em virtude da possibilidade de um atacante poder agendar processos maliciosos para serem executados em horrios mais convenientes s suas atividades. Tais agendamentos podem ser visualizados na pasta %systemroot%\Tasks, entretanto o comando at s apresenta tarefas por ele agendado.
I386kd / Dumpchk: Em algumas situaes pode ser necessrio esvaziar o contedo de memria, para obter senhas, texto limpo de alguma mensagem criptografada ou mesmo recuperar o contedo de um arquivo recentemente aberto. No Windows, tais aes no so consideradas procedimentos periciais seguros. Para esta ao pode ser utilizado o I386kd conforme citado no documento encontrado em http://support.microsoft.com/kb/q254649/, podendo ser
35
utilizado o dumpchk para verificar se criado corretamente o arquivo de despejo de memria. b) Conexes de Rede A busca de informaes sobre conexes de rede, permite ter uma idia de como uma mquina est utilizando a rede em um dado momento. Da mesma forma que os processos da mquina, tal atividade a nica oportunidade de se realizar a coleta deste tipo de informao, pois a mesma voltil, no deixando nenhum rastro ou histrico aps a conexo estiver extinta, a no ser que cada aplicao cuide disso atravs da alimentao de arquivos de log, ou seja utilizada alguma ferramenta especfica para este fim, como o TCPWrapper, que ser abordado logo abaixo. Uma anlise importante a ser feita a verificao da utilizao de recursos de rede especficos da plataforma Windows, como o protocolo NetBIOS e os compartilhamentos de recursos atravs do protocolo SMB (Server Message Block). A seguir tem-se um conjunto de programas teis para a coleta de informaes relativas a conexes de rede: Arp: um programa que utilizado para acessar seu prprio cach, que mapeia o endereo IP ao endereo MAC fsico dos sistemas com os quais o sistema-alvo tem se comunicado no ltimo minuto;
Netstat: o objetivo desta ferramenta nativa fornecer estatsticas de utilizao da rede, mais especificamente dados sobre os protocolos IP, UDP e
36
TCP. Ele exibe informaes que podem ser teis para o examinador, tais como a lista de conexes ativas na mquina, as portas que esto aceitando conexes da rede e qual o estado atual da tabela de roteamento;
Nbtstat: ferramenta nativa que exibe informaes relacionadas ao protocolo NetBIOS. usado para acessar o cache do NetBIOS remoto, observando conexes NetBIOS recentes aproximadamente durante os ltimos dez minutos.;
Tracert: indica quais roteadores esto entre a mquina local e um determinado destino em uma rede. Este aplicativo nativo e pode ser til caso sejam observadas rotas de rede suspeitas durante a utilizao do netstat;
37
Fport: parte integrante do Foundstone Forensic Kit e indica quais processos esto utilizando quais portas TCP/UDP, alm disso, fornece o caminho para seu binrio. Ele poder ser usado antes e depois de executar um processo marginal a fim de determinar se o processo marginal abriu qualquer soquete de rede;
Windump: ferramenta para captura de pacotes de rede, pode ser utilizada para armazenar o trfego de determinada conexo para uma posterior anlise. A interpretao de seus dados pode ser muito trabalhosa, devido grande quantidade de informaes que so geradas, contudo, possvel o armazenamento de seus dados para que eles possam ser analisados posteriormente por programas de interface mais amigvel como o ethereal;
38
Net: programa nativo que agrega inmeras funcionalidades relacionadas administrao de redes Windows. Este aplicativo pode ser til durante a anlise ao vivo (live analysis) para que o examinador obtenha dados relativos aos compartilhamentos mapeados (net use), compartilhamentos exportados (net share) e a lista das sesses em atividade na mquina (net session);
Rmtshare: este aplicativo do NTRK tem praticamente as mesmas funcionalidades no net share, contudo pode realizar todas as suas tarefas remotamente, sempre observando os riscos de se realizar anlises de modo remoto;
39
Rasautou: mquinas com conexes dialup podem ser configuradas para efetuarem discagem toda vez que uma aplicao solicite acesso Internet (dial-on-demand) e comum que algumas aplicaes tentem utilizar este recurso por default. O Windows 2000 mantm um histrico de todos os endereos IP que foram conectados via dial-on-demand, que podem ser consultados atravs desta ferramenta nativa (rasautou -s);
c) Usurios Dados de usurios podem ser analisados de forma off-line, mas informaes sobre quem est logado em neste momento e quais processos esto sendo executados podem ser perdidos. Tais informaes so estratgicas, e necessrio verificar se as polticas de auditoria esto habilitadas no sistema, a fim de que tais informaes no sejam perdidas por negligncia. Caso tais polticas no estejam habilitadas no ser possvel analisar logs de registro de tais informaes,
40
pois os mesmos no existem. Portanto, a coleta destes dados passa a ser fundamental. Pwdump: Ferramenta desenvolvida por Todd Sabin, com o objetivo de examinar as senhas do banco de dados SAM (Security Access Manager). Estas senhas podem ser decifradas utilizando a consagrada ferramenta John the Ripper ou L0phtcrack. Este procedimento pode ser til quando no existe uma cooperao por parte de algum usurio nas investigaes.
net: Atravs do comando net user possvel consultar quais usurios esto cadastrados na mquina local, alm de viabilizar a alterao de seus respectivos dados;
41
Psloggedon: aplicativo que permite determinar quem est usando recursos do sistema-alvo. Esta tarefa pode ser executada tanto local quanto remotamente. Caso o nome do usurio seja informado, este aplicativo tentar localiza-lo em todas as mquinas do domnio;
Rasusers: ferramenta do NTRK capaz de listar os usurios que possuem permisses para se conectarem, via dial-up, em determinada mquina.
d) Registro O registro do Windows uma coleo de arquivos de dados que armazena dados vitais de configurao do sistema. O sistema operacional utiliza o
42
Registro para armazenar informaes sobre o hardware, software e componentes de um sistema. O registro pode revelar o software instalado no passado, a configurao de segurana da mquina, programas de inicializao, cavalos-de-tria, dll e os arquivos recentemente utilizados para muitos aplicativos diferentes. Ele consiste de cinco chaves-raiz (hives): HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG.
Os cinco hives so compostos a partir de quatro arquivos maiores no sistema: SAM, SECURITY, SOFTWARE e SYSTEM. O local padro desses arquivos o diretrio %systemroot%\system32\Config. Ele uma fonte excelente para identificar software e aplicativos que foram instalados em um sistema e ento manualmente excludos. O Windows 2000 no altera as entradas do registro quando um usurio manualmente exclui um aplicativo. Freqentemente, o arquivo uninstall da maior parte dos aplicativos no limpa a sub-chave Uninstall Registry. Abaixo temos algumas ferramentas relacionadas manipulao do registro: Regedit: editor de registro padro do Windows 2000, sendo possvel por meio dele realizar operaes em modo grfico de incluso, excluso e alterao do registro do Windows;
43
Regedt32: editor de registro nativo do Windows 2000, representa uma alternativa sua utilizao do regedit, uma vez que apresenta recursos extras tal como a manipulao das permisses associadas a uma determinada chave;
Regdump/Reg query: O registro do Windows armazena uma grande quantidade de dados importantes, que so teis durante o processo de resposta a incidentes. Para a recuperao viva destes dados ser uilizado o
44
regdump ou o reg query, ambos constantes no NT Resource Kit. O regdump cria uma grande lista em formato texto do registro, j o reg query extra apenas os valores-chave de interesse no registro. Abaixo apresentado um lote de amostra para obteno de infiormaes do sistema-alvo.
Alguns pontos interessantes de coleta so as informaes contidas na chave Run e tambm na chave RunOnce do registro, local que pode ter sido explorado pelo invasor, implantando neste ponto uma chamada a um cavalo-de-tria para que o mesmo possa ser executado no momento da reinicializao do sistema. Reg: ferramenta do NTRK, operada em modo texto, que oferece uma interface completa para manipulao do registro. Permite realizar consultas, incluses e modificaes em valores das chaves de registro, sendo possvel realizar tais operaes de forma remota;
Aps a realizao de uma coleta inicial de informaes volteis, pode ser necessria uma auditoria off-line detalhada, tal anlise pode ser descrita como aquela conduzida a partir de cpias das evidncias originais em uma mquina preparada para esta tarefa.
45
Um dos conceitos bsicos o de manter a integridade das provas. Mas, o que so provas ? Qualquer informao com valor comprobatrio, seja para confirmar ou rejeitar uma hiptese, uma prova. Algumas vezes ser necessria a realizao da duplicao pericial, situaes estas que exigem a duplicao de todos os sistemas e todos os setores da imagem para serem vasculhados em busca de informao. Para a realizao de uma duplicao pericial importante garantir uma metodologia para criar uma boa imagem pericial. Um dos mtodos mais comuns o apreender a mquina e envi-la a um laboratrio de percia. Atualmente existem mquinas periciais, com unidades removveis e muito espao de armazenamento para realizar a duplicao no prprio local. Esta operao pode ser realizada por softwares especializados como o SafeBack e o EnCase. possvel tambm realizar tal operao de forma remota, enviando os dados por meio da rede. Uma forma de se realizar este procedimento por meio da ferramenta netcat em conjunto com o dd. Mas, qual ferramenta usar ? Os requisitos que um software precisa cumprir para ser uma ferramenta pericial confivel so: Ter a capacidade de criar uma imagem de cada bit de dados da mdia de armazenamento. Precisa poder criar uma imagem de cada byte, do inicio da unidade trilha de manuteno. Precisa ser capaz de tratar os erros de leitura com segurana. Se o processo falhar aps diversas tentativas de ler um setor danificado, este anotado, saltado e criado um espao reservado de tamanho idntico no resultado da leitura.
46