Centro Federal de Educao Tecnolgica do Rio Grande do Norte Unidade de Ensino Descentralizada de Currais Novos Departamento Acadmico em Gesto

Tecnolgica

Percia Forense em Web Browsers

Ricardo Klber Martins Galvo
rk@cefetrn.br http://www.ricardokleber.com.br

Salvador/BA, 01/06/2008

Anlise Forense
A aplicao de princpios das cincias fsicas ao direito na busca da verdade em questes cveis, criminais e de comportamento social para que no se cometam injustias contra qualquer membro da sociedade
(Manual de Patologia Forense do Colgio de Patologistas Americanos, 1990).

Levantar evidncias que contam a histria do fato:

Quando? Como? Porque? Onde?

Normas e Procedimentos

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense
Supre as necessidades das instituies legais para manipulao de evidncias eletrnicas; Estuda a aquisio, preservao, recuperao e anlise de dados em formato eletrnico; Produz informaes diretas e no interpretativas.

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense
Principais Fases Identificao Preservao Anlise Apresentao
Foco desta apresentao:

Anlise de Evidncias em Web Browsers

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Contextualizao

Importncia das Evidncias Eletrnicas Evidncias Convencionais Mtodos Convencionais Evidncias Eletrnicas Novos Mtodos/Ferramentas Por exemplo e neste caso espec!"ico#:
Histricos de navegadores web; E-mails recebidos/enviados via Webmail; Consultas a sites de busca...

Nem sempre as evidncias esto nos ar uivos !presentes na m"dia periciada ou recuperados ps-dele#o$ %s web browsers podem ser &undamentais em uma investiga#o

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Onde buscar evidncias?

Lado do Cliente
Web 'rowsers

Lado do Servidor
Web (ervers (ervidores de )plica#o (ervidores de 'anco de *ados

Ou ainda
+r,&ego de -ede Caracter"sticas de (istemas %peracionais .tili/ados

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Quais os objetivos deste tipo de anlise?

Porno$ra"ia In"antil / Pedo"ilia Fra%des Eletrnicas &o%'o de Identidade Espiona$em Ind%strial Incidentes de (e$%rana )convencionais* +!r%s / ,orms / P-is-in$ .ac/in$ cas%al o% direcionado# 000
Um dos primeiros objetivos da anlise identificar se o(s) usurio(s) do equipamento/mdia periciado(a) vtima ou est envolvido no incidente
GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Browsers Utilizados (opes):

Internet Explorer Fire"ox / Mo1illa / Netscape 2%tros:
0on ueror %pera (a&ari 1aleon 23n4 / 2in5s ...
Em alguns casos pode-se no disp r de uma ferramenta adequada ao !eb bro!ser utili"ado/analisado
GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Internet Explorer (Windows)

&e$istros de Evidncias
Web Browser !istor"# 3&4s de sites visitados Coo$ies# Coo/ies 5%e o %s%6rio aceito% en5%anto nave$ava %emporar" &nternet Files 'cac(e)# C7pias de ar5%ivos 5%e "oram %sados para constr%ir as p6$inas 8e' &n*orma+,es de Preenc(imento de Formulrios# (e o rec%rso 9%toComplete estiver -a'ilitado Favorite Folder# 3&4s de sites 5%e o %s%6rio marco% como "avoritos
C:\Documents and Settings\usurio\Favorites\ 9r5%ivos com extenso .url

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Internet Explorer (Windows)

Encontrando In"orma:es:
9rma1ena in"orma:es de acesso de cada %s%6rio em se% pro"ile ,indo8s:

In"orma:es de Cac-e
C:\Documents and Settings\usurio\Local Settings\ Temporary Internet Files\Content.IE5\

.ist7rico
C:\Documents and Settings\usurio\Local Settings\History\

Coo/ies
C:\Documents and Settings\usurio\Cookies\

9r5%ivos ;empor6rios
C:\Documents and Settings\usurio\Local Settings\Temp\ Ar-uivo com &n*orma+,es# inde#$dat
GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Internet Explorer (Windows)

&n*orma+,es de Cac(e

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Internet Explorer (Windows)

!ist.rico

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Internet Explorer (Windows)

In"orma:es de Cac-e:
&ecomenda<se o %so de "erramentas para explorar o ar5%ivo index0dat com in"orma:es de cac-e o ar5%ivo tem "ormato espec!"ico# para a coleta de in"orma:es como: 3&4s visitadas= Nomes de ar5%ivos arma1enados localmente= Permite vis%ali1ar a p6$ina acessada pelo %s%6rio 5%e pode ser di"erente da p6$ina at%almente exi'ida na 3&4# Ca'eal-os -eaders# .;;P ;imestamps de ar5%ivos >ltimo acesso? >ltima modi"icao?000#

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Internet Explorer (Windows)

Coo/ies:
2 acesso a p6$inas 8e' "eito de modo stateless nen-%ma in"ormao so're conex:es e estado de sess:es arma1enada#= Coo/ies so %sados para arma1enar in"orma:es de 5%em acessa essas p6$inas para aplica:es 5%e exi$em in"orma< :es persistentes# Existem dois tipos de coo/ies: session e persistent session coo%ies so arma1enados na mem7ria persistent coo%ies so arma1enados em disco
Cada persistent coo5ie 6 arma/enado como um pe ueno ar uivo te4to contendo nomes e valores7 tempo em ue o coo5ie &oi bai4ado7 tempo at6 ue o coo5ie e4pire7 in&orma#8es de status (&ist'rico dos coo%ies e no das U()s)

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Internet Explorer (Windows)

Favorites:
3&4s de p6$inas visitadas e assinaladas como "avoritas pelo %s%6rio $eralmente por interesse em retornar @ p6$ina#= 9 per!cia nestes sites deve ser reali1ada copiando a pasta para %ma estao pericial e acessando as 3&4s para identicar se%s conte>dos s%Aeito @ alterao de conte>do#= B importante comparar a in"ormao de data de modi"icao Cate Modi"ied# com a data em 5%e o lin/ "oi inserido na pasta= 2 nome do lin/ caso o %s%6rio no o ten-a alterado ao inserir na pasta# o t!t%lo da mesma=
*ica9 .sar sites como o Wa3'ac5:ac;ine !www.archive.org$ para visuali/ar o conte<do da p,gina em uma data no passado

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Internet Explorer (Windows)

.ist7rico .istorD Files#:
4ista de sites recentemente visitados mesmo 5%e no ten-am sido marcados como "avoritos#= Esta lista %tili1ada pelo rec%rso )utoComplete para s%$erir 3&4s d%rante a di$itao no 'ro8ser=

&e$istro do ,indo8s:
E%ando o %s%6rio di$ita in"orma:es nomes? endereos e sen-as# em campos de "orm%l6rio? o IE o"erece a opo para relem'rar estas in"orma:es000 000 Estas in"orma:es so arma1enadas encriptadas no re$istro do ,indo8s0

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Firefox

.ist7rico .istorD Files#:
C:\Documents and Settings\usurio\Application Data\Mozilla\Firefox\Profiles\<profilename>\ history.dat

Coo/ies:
C:\Documents and Settings\usurio\Application Data\Mozilla\Firefox\Profiles\<profilename>\ cookies.txt
2 ar5%ivo de coo/ies est6 em "ormato le$!vel? en5%anto o de -ist7rico necessita de %m )parser* para identi"icar in"orma:es

Cac-in$:
C:\Documents and Settings\usurio\Local Settings\Temp
GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramentas

+anta$ens no %so de "erramentas espec!"icas:
Identi"icao a%tom6tica da locali/a+0o de ar-uivos= &esol%o de pro'lemas como nomes di"erentes de ar5%ivos em "%no? por exemplo? de idioma o% verso do (020#= Parser a%tom6tico de ar5%ivos codi"icados= 3so em v6rios tipos de 'ro8sers= 9presentao mais )a$rad6vel*= &elat7rios mais detal-ados= Exportao para "ormatos manip%l6veis0

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramentas

Pasco 1alleta Web !istorian 2etAnal"sis Cac(e 3iew &E !istor" 3iewer &E !istor"3iew &E Coo$ies3iew &E Cac(e3iew 4o/illa !istor"3iew 4o/illa Cac(e3iew 4o/illa Coo$ies3iew wb* 'Web Browser Forensics) Cac(e 4onitor &E Cac(e Auditor &nternet Cac(e E5plorer S%1 Cac(e Audit Web Cac(e &lluminator &nde5 dat Anal"/er 'anti6*orense) &E !istor" 4ana7er 'anti6*orense) Forensic %ool 8it EnCase Autops" 9 Sleut($it

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Pasco

9%tor: Feit- Gones Co latim )'%sca* 'ro8se em in$ls# Foco principal: 9n6lise de ar5%ivos de Cac-e +ers:es para ,indo8s CD$8in#? Mac2s H? 4in%x e I(Cs Inter"ace em lin-a de comando &econstr7i as estr%t%ras internas do ar5%ivo Index0dat do IE0
&ece'e %m ar5%ivo Index0dat? reconstr7i os re$istros? e retorna a in"ormao em %m ar5%ivo "ormato texto0 Formato 'astante pr6tico em caso de necessidade de exportao de dados para %ma planil-a como o Microso"t Excel#0

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Pasco

3so: pasco Jop:esK LnomeMdoMar5%ivoN -d Undelete Activity Records -t Field Delimiter (TAB by default) Exemplo de 3so: % ./pasco index.dat > index.txt 9r5%ivo index.txt $erado com delimitador de"a%lt ;9I padroni1ado para a'ert%ra em planil-a M( Excel p0ex0#

http://www.foundstone.com/us/resources/proddesc/pasco.htm

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Pasco

Campos exi'idos retirados do Index0dat#:

;-e record tDpe O Ce"ine se a atividade %ma 3&4? o% %ma 3&4 5%e "oi proc%rada e direcionada para o%tro site0 3&4 O 2 site at%al 5%e "oi visitado pelo %s%6rio0 Modi"ied ;ime O 9 >ltima alterao so"rida pelo site0 9ccess ;ime O 2 momento 5%e o %s%6rio acesso% o site0 Filename O 2 nome local do ar5%ivo 5%e contm %ma c7pia da 3&4 listada0 CirectorD O Ciret7rio local onde se pode ac-ar o )Nome do 9r5%ivo* acima0 .;;P .eaders O 2s ca'eal-os .;;P 5%e o %s%6rio rece'e% 5%ando acesso% a 3&40

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Pasco

GTS 11 !! Salvador/BA, 01/06/2008

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Pasco

GTS 11 !! Salvador/BA, 01/06/2008

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Galleta

9%tor: Feit- Gones Co espan-ol )coo/ie* Foco principal: 9n6lise de ar5%ivos de Coo/ie +ers:es para ,indo8s CD$8in#? Mac2s H? 4in%x e I(Cs Inter"ace em lin-a de comando
&ece'e %m ar5%ivo de Coo/ie? reconstr7i os re$istros? e retorna a in"ormao em %m ar5%ivo "ormato texto0 Formato 'astante pr6tico em caso de necessidade de exportao de dados para %ma planil-a como o Microso"t Excel#0

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Galleta

3so: galleta [opes] <nome_do_arquivo> -t Campo delimitador (TAB por default) Exemplo de 3so: % ./galleta arquivoexemplo.txt > cookies.txt 9r5%ivo cookies.txt $erado com delimitador de"a%lt ;9I padroni1ado para a'ert%ra em planil-a M( Excel p0ex0#

http://www.foundstone.com/us/resources/proddesc/galleta.htm

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Web Historian

9%tor: &ed Cli""Ps Mandiant# Foco principal: .ist7rico de 3&4s visitadas (020: M( ,indo8s http://www.mandiant.com/webhistorian.htm Busca e identi*ica ar-uivos importantes dos se7uintes nave7adores#

Internet Explorer Mo1illa / Fire"ox / Netscape (a"ari 9pple 2( H# 2pera

Produ/ resultados nos *ormatos#

Excel Nativo .;M4 9r5%ivo ;exto

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Web Historian

GTS 11 !! Salvador/BA, 01/06/2008

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Web Historian

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Web Historian

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Net Analysis

Paraben (www.paraben-forensics.com) Funcionalidades#
9n6lise de .ist7rico Internet .istorD# 9n6lise de Cac-e +ie8in$ Cac-e Cata# )9%to Investi$ao* 9%to Investi$ate Feat%re# Filtros con"i$%r6veis para '%sca por: (ites de pedo"ilia %s%6rios? sen-as e padr:es espec!"icos I%sca de -ist7ricos deletados em: Espaos no alocados 9r5%ivos s8ap 9r5%ivos 'in6rios 9rma1ena '%scas em 'ancos (E4

~ $ 250

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Net Analysis

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Net Analysis

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Cache View

9%tor: ;im Go-nson Foco principal: Cac-e (020: M( ,indo8s http://www.progsoc.uts.edu.au/~timj/cv/ Extrai in"orma:es dos ar5%ivos de Cac-e:
3&4? nome do ar5%ivo em cac-e? taman-o em 'Dtes#? MIME ;Dpe? data da >ltima modi"icao? data do do8nload? data de expirao e ca'eal-o .;;P
IE? Netscape? Fire"ox e 2pera#

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Cache View

+erso no<re$istrada

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Cache View

+erso no<re$istrada

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Cache View ~ $ 25

+erso re$istrada

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: IE History Viewer

9%tor: Gonas I%tt (020: M( ,indo8s http://www.codeplex.com/IEHistoryViewer

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: IE HistoryView

9%tor: Nirso"t (020: M( ,indo8s

http://www.nirsoft.net/utils/iehv.html

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: IE CookiesView

9%tor: Nirso"t (020: M( ,indo8s

http://www.nirsoft.net/utils/iecookies.html

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: IE CacheView

9%tor: Nirso"t (020: M( ,indo8s

http://www.nirsoft.net/utils/ie_cache_viewer.html

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Mozilla HistoryView

9%tor: Nirso"t (020: M( ,indo8s

http://www.nirsoft.net/utils/mozilla_history_view.html

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Mozilla CacheView

9%tor: Nirso"t (020: M( ,indo8s

http://www.nirsoft.net/utils/mozilla_cache_viewer.html

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Mozilla CookiesView

9%tor: Nirso"t (020: M( ,indo8s

http://www.nirsoft.net/utils/mzcv.html

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: wbf (Web Browser Forensics)

9%tor: Man%el (antander Foco principal: 9n6lise de ar5%ivos de .ist7rico +ers:es para ,indo8s CD$8in# e 4in%x http://manuel.santander.name/wbf.html

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: STG Cache Audit

9%tor: (tar$lider (Dstems (020: M( ,indo8s http://www.stgsys.com/audit.asp

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Outras Ferramentas

Cac(e 4onitor
http://www.enigmaticsoftware.com/cachemonitor/index.html

&E Cac(e Auditor

http://www.softempire.com/cache-auditor-simple-ie-cache-viewer.html

&nternet Cac(e E5plorer

http://www.risingresearch.com/ru/icache/

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Web Cache Illuminator

9%tor: Nort-(tar (ol%tions Foco principal: 9n6lise de ar5%ivos de Cac-e (020: M( ,indo8s todos os 'ro8sers# &eali1a '%scas por ar5%ivos oc%ltos F%ncionalidade )anti<"orense* apa$ar pastas do cac-e e/o% ar5%ivos selecionados#

~ $ 30

http://www.nstarsolutions.com/wci/

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Web Cache Illuminator

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Index.dat Analyzer

Ferramenta :Anti6Forense; Web %em como op+,es deletar#
.istorD O C%rrent 3ser Coo/ies O C%rrent 3ser Cac-e O C%rrent 3ser

http://www.systenance.com/indexdat.php

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: Index.dat Analyzer

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: IE History Manager

Ferramenta :Anti6Forense; Web S O # Windows <594e92%9=>>>9?P9=>>@ Lista in*orma+,es do !ist.rico e (abilita a dele+0o dos :rastros;#
cac-e? coo/ies? -istorD? a%tocomplete memorD e ar5%ivos index0dat

http://www.cleanersoft.com/iehistory/iehistory.htm

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Ferramenta :: IE History Manager

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers

F%8 'Forensic %ool 8it) Encase Autops" 9 Sleut($it 'sucessor do %C%) 8its
!eli5 recomendado# http://www.e-fense.com/helix/ Pro*essional !ac$ers Linu5 Assault 8it 'P!LA8) http://www.phlak.org 8noppi5 securit" tools distribution '8noppi56std) http://www.knoppix-std.org Pen7uin Sleut( 8it Bootable CA http://www.linux-forensics.com

Ferramentas Genricas (no especficas p/web)

Forensic and &ncident Besponse Environment Bootable CA 'F&BE) http://fire.dmzs.com/

GTS 11 !! Salvador/BA, 01/06/2008

Computao Forense em Web Browsers Dica para Praticar o Uso de Ferrramentas

Caso (ipotCtico disponvel em arti7o da Securit"*ocus Web Browser Forensics 'Parts D and =) Aescri+0o#
-ttp://8880sec%ritD"oc%s0com/in"oc%s/QRST

4aterial para prtica#

-ttp://do8nloads0sec%ritD"oc%s0com/do8nloads/G(c-mo<Internet9ctivitD01ip

GTS 11 !! Salvador/BA, 01/06/2008

Centro Federal de Educao Tecnolgica do Rio Grande do Norte Unidade de Ensino Descentralizada de Currais Novos Departamento Acadmico em Gesto Tecnolgica

Percia Forense em Web Browsers

Ricardo Klber Martins Galvo
rk@cefetrn.br http://www.ricardokleber.com.br

Salvador/BA, 01/06/2008