Escolar Documentos
Profissional Documentos
Cultura Documentos
Evandro Della Vecchia Pereira, Leonardo Lemes Fagundes, Paulo Neukamp, Glauco Ludwig, Marlom Konrath Universidade do Vale do Rio dos Sinos (UNISINOS) evandrodvp@unisinos.br
SBSeg 2007
Autores
Mestre em Cincia da Computao pela UFRGS, Bacharel em Cincia da Computao pela PUCRS. Atualmente perito criminal do Estado do Rio Grande do Sul (SSP/IGP Instituto Geral de Percias) e professor da Graduao Tecnolgica em Segurana da UNISINOS. Contato: evandrodvp@unisinos.br Mestre em Computao Aplicada e Bacharel em Informtica - Hab. Anlise de Sistemas pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente coordenador executivo e professor da Graduao Tecnolgica em Segurana da UNISINOS. Contato: llemes@unisinos.br Tecnlogo em Segurana da informao Graduado na Universidade do Vale do Rio dos Sinos UNISINOS. Criador e mantenedor da distribuio FDTKUbuntuBr (Forense Digital ToolKit), Analista de suporte em uma multinacional qumica em Novo Hamburgo - RS. Contato: pneukamp@gmail.com Mestre em Computao Aplicada e Especialista em Redes de Computadores pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente professor da Graduao Tecnolgica em Segurana, Desenvolvimento de Jogos e Engenharia da Computao desta instituio. Contato: glaucol@unisinos.br Mestre em Computao Aplicada e Bacharel em Informtica (Anlise de Sistemas) pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente trabalha em uma empresa de desenvolvimento de software em So Paulo. Possui interesse nas reas: Peer-to-Peer, Redes e Segurana. Contato: marlomk@unisinos.br 2
Roteiro
Introduo Cdigos maliciosos (malware) Forense computacional Tcnicas forenses Exame dos dados Ferramentas forenses Estudos de caso Desafios atuais em forense computacional Consideraes finais
Introduo
Cyber crime: so utilizados dispositivos eletrnicos, computadores e Internet
Mais difcil de ser investigado devido possibilidade de anonimato As evidncias podem estar distribudas em diversos servidores
Introduo
Ocorrncias mais comuns:
Calnia, difamao e injria via e-mail Roubo de informaes confidenciais Remoo de arquivos
Outros crimes:
Pedofilia Fraudes Trfico de drogas via Internet
Introduo
Investigaes comeam a depender de conhecimento tcnico para desvendar crimes cibernticos forense computacional Forense Computacional pode ser definida como a inspeo cientfica e sistemtica em ambientes computacionais, com a finalidade de angariar evidncias derivadas de fontes digitais para que seja possvel promover a reconstituio dos eventos encontrados (podendo assim, determinar se o ambiente em anlise foi utilizado na realizao de atividades ilegais ou no autorizadas)
Os vrus possuem diferentes classificaes, de acordo com autores de publicaes Vrus acompanhantes: no infectam arquivos executveis, mas utilizam o mesmo nome, com extenso diferente (aquela que tem prioridade)
Ex.: Se o usurio clicar em Iniciar Executar, e digitar notepad, ser executado um arquivo com nome notepad e com qual extenso?
9
10
Alguns vrus podem se instalar nos primeiros setores lidos durante a inicializao de um S.O. (vrus de boot) Ex.: Michelangelo Vrus de macro so executados em softwares que tm a capacidade de interpretar cdigo presente dentro dos arquivos de dados
Microsoft Word, ex.: Melissa
11
13
14
15
16
17
18
Este tipo de software foi responsvel por metade das falhas em ambientes Windows reportados por usurios da Microsoft
19
20
21
Recentemente os softwares de antivrus comearam tambm a detectar e remover este tipo de cdigo malicioso
22
26
27
30
31
32
33
Tipicamente um bot conecta-se a uma rede IRC (Internet Relay Chat) e fica esperando por comandos em um canal especfico Ao identificar seu mestre, o bot ir realizar o que lhe for ordenado atravs de comandos.
Ataques de negao de servio Spam ...
34
36
37
O intuito obter evidncias relacionadas realizao dos eventos. Evidncias: peas utilizadas por advogados nos tribunais e cortes do mundo inteiro. Para serem consideradas provas vlidas, muito importante que o perito realize o processo de investigao de maneira cuidadosa e sistemtica.
Preservao das evidncias Documentao detalhada
38
39
40
Nesses casos, a coleta dos dados somente ser possvel mediante ordem judicial.
41
42
43
44
Garantir e preservar a integridade dos dados: aps a coleta dos dados, o perito deve garantir e preservar a integridade dos mesmos
Se no for garantida a integridade, as evidncias podero ser invalidadas como provas perante a justia A garantia da integridade das evidncias consiste na utilizao de ferramentas que aplicam algum tipo de algoritmo hash
Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um relatrio (cadeia de custdia)
45
46
Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas
Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar investigao Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados
47
48
49
50
51
52
54
55
56
Com um laudo bem escrito torna-se mais fcil a reproduo das fases da investigao, caso necessrio.
57
58
Quando realizada de forma correta, complementa e contribui para que o resultado da investigao seja conclusivo e preciso.
59
Rootkits podem:
Modificar as ferramentas (comandos) do sistema operacional e assim permanecerem com acesso ao host e no serem identificados; Inserir filtros em determinadas partes do S.O. que impedem a visualizao de algumas informaes;
60
61
62
63
Em suma, alm dos tipos de dados que podem ser coletados, a diferena mais significativa entre live e post-mortem analysis o grau de confiana existente nos resultados obtidos.
Ferramentas e comandos instalados no sistema investigado podem ter sido modificados para produzir dados falsos e tambm porque qualquer erro do perito pode contaminar ou alterar os dados existentes.
64
Tcnicas Forenses
Relembrando...Boas prticas que antecedem a coleta dos dados:
Esterilizar todas as mdias que sero utilizadas ou usar mdias novas a cada investigao Certificar-se de que todas as ferramentas (softwares) que sero utilizadas esto devidamente licenciadas e prontas para utilizao Verificar se todos os equipamentos e materiais necessrios (por exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto a disposio Quando chegar ao local da investigao, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidncias Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc. Manter a cadeia de custdia.
65
66
Contedo da memria: o espao de troca e a memria principal normalmente contm os dados acessados recentemente:
senhas e os ltimos comandos executados; resduos de dados nos espaos livres ou que no esto em utilizao.
67
68
Imagem: imagem do disco ou imagem bit-a-bit inclui os espaos livres e os espaos no utilizados:
mais espao de armazenamento, consomem muito mais tempo; permitem a recuperao de arquivos excludos e dados no alocados pelo sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte no utilizada pelo arquivo
69
70
71
72
73
74
Finalidade: localizar, filtrar e extrair somente as informaes que possam de alguma maneira contribuir para a reconstruo dos eventos que deram origem investigao.
75
76
77
78
Para identificar o uso de esteganografia, normalmente se utiliza histogramas, mas a presena de programas de esteganografia uma evidncia de que arquivos podem ter sido esteganografados.
Uma vez determinada a presena de arquivos que tenham sido submetidos esteganografia, importante empregar tcnicas de esteganoanlise.
79
80
Todas as etapas e concluses sobre as anlises realizadas devem ser devidamente registradas e ao final anexadas ao laudo pericial.
81
82
83
84
Ferramentas Forenses
Algumas ferramentas forenses sero mostradas nas etapas:
Coleta dos dados Exame dos dados Anlise dos dados
85
Automated Image & Restore (AIR): interface grfica para os comandos dd/dcfldd
gera e compara automaticamente hashes MD5 ou SHA produz um relatrio contendo todos os comandos utilizados durante a sua execuo elimina o risco da utilizao de parmetros errados por usurios menos capacitados
86
87
88
89
Muitos arquivos importantes que fazem parte dos sistemas operacionais da famlia Windows no possuem uma clara explicao de suas estruturas
Pasco: analisa os ndices dos arquivos do Internet Explorer (index.dat), exportando os resultados em um formato de texto padro, inteligvel por humanos e que utiliza como delimitador de campos o caractere | Galleta: analisa os cookies existentes em uma mquina e separa as informaes teis em campos para que possam ser manipuladas por outros programas
90
Destruio dos Dados: para impedir ou pelo menos dificultar a recuperao dos dados, so utilizadas ferramentas conhecidas como wiping tools para a remoo dos dados
Wipe secure-delete pgp wipe The Defiler's Toolkit.
91
92
Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difcil de ser superada
Utilizar ferramentas de esteganoanlise em uma mdia de 80GB requer muito tempo e na prtica nem sempre algo vivel de se realizar O mesmo ocorre quando se trata de arquivos criptografados
93
Outros mtodos de modificao incluem a alterao dos atributos de tempo, atravs de ferramentas como touch e timestamp, e ataques de coliso em hash do tipo MD5 Algumas ferramentas:
Metasploit Anti-Forensic Investigation Arsenal (MAFIA) Windows Memory Forensic Toolkit
94
Estudos de caso
Com base em investigaes reais, quatro estudos de caso sero apresentados Acesso remoto de uma empresa outra, considerado pela denunciante como indevido (sem permisso) Investigao de um possvel roubo de informaes, mais especificamente, de dados bancrios Investigaes para a descoberta da origem de e-mails
Mquina suspeita (origem do e-mail) Mquina da vtima
95
Uma empresa vtima acusa uma outra empresa (invasora) de ter acessado um sistema X atravs da rede da vtima O sistema X possui informaes fundamentais para determinado ramo empresarial
O acesso ao mesmo controlado e existe a cobrana de uma mensalidade Para evitar que mais de uma empresa utilize o sistema com o pagamento de apenas uma mensalidade, a autenticao baseada no endereo IP
96
98
101
102
104
107
Partiu-se para uma nova busca: evidncias de que os dados bancrios teriam sido enviados para o servidor FTP mencionado Foi realizada ento uma busca por palavras-chave sem a utilizao de expresses regulares, pois se procuravam palavras especficas, incluindo usurio e endereo IP do servidor
108
109
Diversos acessos a sites de Webmail foram encontrados, com um total de seis usurios diferentes Na pasta de arquivos temporrios no foi encontrado o e-mail com as ameaas nem mesmo os dados da conta de e-mail que foi utilizada
112
114
115
116
117
118
119
120
121
Consideraes finais
Forense computacional um tema bastante atual e que tem recebido significativa ateno tanto da comunidade cientfica quanto da indstria. Muitas fraudes eletrnicas se baseiam na ingenuidade de usurios e conseqentemente na execuo de malwares. Muitas vezes a investigao no pode prosseguir sem a verificao de computadores de suspeitos necessidade de pessoal qualificado! Sobre a anlise post mortem existe mais material disponvel para pesquisa, porm a demanda pela anlise live deve aumentar (casos de flagrante). extremamente importante seguir as boas prticas de forense para evitar o descarte de um laudo em um processo judicial.
122
Consideraes finais
H ainda muito a ser pesquisado, como mostrado em desafios atuais, muitas tarefas ainda dependem exclusivamente do perito. Novas ferramentas/bases de assinaturas de arquivos ajudariam os peritos no exame dos dados, especialmente na anlise live. O surgimento de legislao e padres a serem aplicados (Brasil) referentes forense computacional tornariam menor a chance de laudos serem inutilizados por falta de experincia dos peritos.
123
Dvidas?
Muito obrigado!
124