Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Forense Linux

    Enviado por

    anjosjr
    67 visualizações29 páginas
    O documento fornece uma introdução sobre forense computacional em Linux. Ele discute o que é forense computacional, medidas iniciais para preservar evidências após um ataque, como criar uma imagem da mídia atacada de forma a não alterar dados originais e algumas ferramentas para análise de imagens.

    Descrição original:

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    O documento fornece uma introdução sobre forense computacional em Linux. Ele discute o que é forense computacional, medidas iniciais para preservar evidências após um ataque, como criar uma imagem da mídia atacada de forma a não alterar dados originais e algumas ferramentas para análise de imagens.

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    67 visualizações29 páginas

    Forense Linux

    Enviado por

    anjosjr
    O documento fornece uma introdução sobre forense computacional em Linux. Ele discute o que é forense computacional, medidas iniciais para preservar evidências após um ataque, como criar uma imagem da mídia atacada de forma a não alterar dados originais e algumas ferramentas para análise de imagens.

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 29

    Forense computacional emLinuxfor dummies

    umarpidaviso introdutria
    JooPessoa,PB,08demaiode2010

    JooEribertoMotaFilho

    Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Oqueforensecomputacional?
    Forensecomputacionalacinciavoltadaparaa obteno,preservaoedocumentaodeevidn cias,apartirdedispositivosdearmazenagemele trnicadigital,comocomputadores,pagers,PDAs, cmerasdigitais,telefonescelularesevriosoutros dispositivosdearmazenamentoemmemria.Tudo deverserfeitoparapreservarovalorcomproba triodasevidnciaseparaassegurarqueistopossa serutilizadoemprocedimentoslegais.
    (An introduction to Computer Forensics, Information Security and Forensics Society, abr. 04, disponvel em http://www.isfs.org.hk/publications/public.htm)

    Eribertomai.10

    Oqueforensecomputacional?
    Ento... Aforensecomputacionalbusca,emdispositivosde armazenamento,evidnciasdeaesincompatveis, danosasoucriminosas. Taisaespodemserlocaisouremotas(viarede). Geralmente,ascitadasaesestorelacionadasaroubode informaes,fraudes,pedofilia,defacements,intrusese crimescibernticosemgeral.

    Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Ataquesviarede:oquefazer?
    Emumrazovelnmerodevezes,forensessoconduzidas emvirtudedeataquesremotos(viarede). Apsumataqueremoto:
    >Desconecte,imediatamente,ocaboderede. >NUNCAdesligueamquina(considerandoqueoatacanteno otenhafeitoremotamente). >Notoquenamquina(nemmesmofaalogin). >Chame,imediatamente,umperitopararealizaraforense. >Acompanhe,sepossvel,todootrabalhodoperito.

    Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Medidasiniciaisnasforenses
    Aotomaroprimeirocontatocomamquinaatacada,casoa mesmaaindaestejaligada,operitodever: InserirumpendrivemaiordoqueaquantidadedeRAMda mquinaparacolherdados(nuncagravarnoHDatacado). LogarcomorootemontarodispositivoUSB(/mnt?). Gravarnodispositivoexternoosseguintesdados:
    >Umdumpdememria,com#if=/dev/memof=/mnt/mem. (estatemqueseraprimeiraao) >Asituaodememria,com#freem>/mnt/free. >Osprocessosativos,com#psaux>/mnt/ps. >Osprocessoseportasocultos,com#unhide>/mnt/unhide. continua... Eribertomai.10

    Medidasiniciaisnasforenses
    continuando... >Otempodevidadamquina,com#uptime>/mnt/uptime. >Asconexeseportasabertas,com#netstattunap> /mnt/netstat. >Arelaodepacotesinstalados(noDebian,podeseusar# COLUMNS=110dpkgl>/mnt/pacotes). >Dataehoradamquina,com#date>/mnt/date.Anotea horadoseurelgionestemomento,paraumacomparao futura.Adefasagemencontradadeverconstarnolaudo. >Usurioslogados,com#w>/mnt/w. >Utilizaodediscos,com#dfhT>/mnt/df. >Okernelutilizado,com#unamea>/mnt/uname. continua... Eribertomai.10

    Medidasiniciaisnasforenses
    continuando...

    Desmontareremoverodispositivoexterno(pendrive). Verificar,emoutramquina,serealmentefoigravadotodo ocontedonecessrionodispositivoexterno. Desligaramquinasempermitirqueamesmagravedados nodisco.Paraisso,puxeocabodeenergiadatomadasem desligaramquinadeformaconvencional.

    Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Criaodaimagemdamdiaatacada
    Todootrabalhodeforensedeverserrealizadoemuma cpiadamdiaatacada(imagem). Paracriaraimagem: AdicionarumHDdecapacidademaiordoqueoda mquinaatacada. InicializaramquinaatacadacomumliveCDvoltadopara forense(sugesto:Insert)oupendrivecomLinux (sugesto:http://tiny.cc/pendrive_debian). MontarapenasapartiodoHDadicional(aqueir receberasimagens). CriarumaimagemdoHDcomprometido,porinteiro,no novoHD.
    Eribertomai.10

    Criaodaimagemdamdiaatacada
    ApsacriaodaimagemdoHD,calculardoishashesde taisimagens(pelomenosumdeverserSHA2). Todooprocessodeaberturafsicadamquina comprometida,criaodaimagemeclculodoshashes deverseracompanhadoporduastestemunhas. Aofinaldaoperao,deversergeradoumcertificadode integridade,contendoadata,onomeeoCPFdoperito,das testemunhas,onmerodesriedoHDeoshashesobtidos. Todosdeveroassinarocertificado,queserumdos anexosaolaudopericial. OHDoriginaldeverserlacradonapresenadetodose entregueparaautoridadecompetente.Onmerodoslacres deverconstarnolaudo(ounocertificadodeintegridade).
    Eribertomai.10

    Criaodaimagemdamdiaatacada
    Mdiasdanificadas(HD,pendrive,CDROM)poderotero seucontedoparcialcopiadocomocomandodd_rescue. Issoirgerarumfragmentoauditvelcomferramentas especiais. CasosejanecessriotrabalharemcadapartiodoHD, bastarescreveraimagememumoutroHDdemaior capacidade.Issopoderserfeitocomocomandodd. muitoimportantepreservaraomximoaimagem original.Umaideiatrabalhartodootempoemumacpia damesma.

    Eribertomai.10

    Criaodaimagemdamdiaatacada
    Exemplodecriaodeimagens: HDcomprometido:/dev/sda. 2HD:possuiumanicapartio,a/dev/sdb1. Criaodasimagens(/dev/sdb1montadoem/mnt):
    #ddif=/dev/sdaof=/mnt/sda.img

    Casosejanecessriousaraspartiesdaimagem,escreva aimagememoutroHD(/dev/sdc,porexemplo),como comando:


    #ddif=/mnt/sda.imgof=/dev/sdc

    OcomandoanteriorcriarumclonedoHDaserpericiado. NOacesseocontedoparanoalterarasdatasehoras originais.Crieumaimagemdecadapartiodisponvel.


    Eribertomai.10

    Criaodaimagemdamdiaatacada
    Odcflddumaexcelentealternativaaodd. Dentreoutrascoisas,odcflddexibeoandamentoda operaoecalculahashesemtemporeal.Exemplo:
    #dcflddif=/dev/sdaof=/mnt/sda.imghash=md5,sha256 md5log=/mnt/sda.img.md5sha256log=/mnt/sda.img.sha256

    Comparativo(usandocomobaseumpendrivede2GBem umnetbookAtom):
    *dd+md5sum+sha256sum=7min23seg(sodd:5'03''). *dcfldd,calculandooshashes=5min04seg.

    Exemplodesadadetela:

    Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Utilizaodaimagemdamdiaatacada
    Osarquivosdeimagens(completooudasparties) poderoseranalisadosdiretamenteoumontadosemoutra mquina(somenteasparties,excetoseforswap). Asimagensdaspartiesdeverosermontadascomoloop (porserarquivo)ereadonly(paranoalterarocontedo). Exemplo:
    #mountoloop,ro/mnt/sda1.img/forense

    Arquivosdeswapsoextensodamemriaenopossuem filesystem.Ento,seroanalisadossemmontagem(no possvelmontlos).

    Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Oquebuscarnaanlise
    Inicieaforenseouvindoosfatosparatentardeduziralgo relevantequeleveseleodeumpontoinicial.Exemplo: emdefacements,comearpelaanlisedo/var/www. Analiseoslogs. Analiseamemria,oswapeosdiretrios/tmpe/var/tmp. Analiseodiretrio/home. Analiseodiretrio/etc. Procureporrastrosdoseuoponente. Busqueporrootkitsebackdoors. Verifiqueseosistemaoperacionalestavaatualizado.

    Eribertomai.10

    Oquebuscarnaanlise
    Busque,emimagens,porarquivosrelevantesapagados, combaseempalavraschave. ArquivosdeMSOfficeeBrOffice.Orgsuspeitosdevemser analisadosprofundamente.Comecepelaspropriedadesdos mesmos. Sejainteligente,criativoeperseverante.Tenhaavontade devenceroseuoponente!

    Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Algunscomandoseferramentas
    Instaleosleuthkit(noDebian,#aptgetinstallsleuthkit; paravercomandos:#dpkgLsleuthkit|grep/usr/bin). Useeabusede#lsluae#lslta. Garimpeimagensearquivoscomstrings+grep.O comandostrings,noDebian,estnopacotebinutils. Procureporrootkitscomchkrootkiterkhunter.Exemplos:
    #chkrootkitr/forense #rkhunterupdate;rkhuntercr/forense

    Procureporwormscomoclamscan(#aptgetinstall clamav).Exemplo:
    #freshclam;clamscanr/forense Eribertomai.10

    Algunscomandoseferramentas
    Utilizeocomandofindparaprocurarporarquivoscriados oumodificadosnosltimos2dias.Exemplo:
    #find/forense/mtime2print

    Utilizeoscomandosmagicrescueeforemostparabuscar arquivosapagadosemimagens.Osmesmoscomandos tambmseroteisemfragmentosdeimagensouimagens comfilesystemscorrompidos. Utilizehexdumpehexeditparaacessarcontedos, exibindoosemhexadecimalouASCII(mesmoem fragmentos).ParaASCIIpuro,utilizeoviewdomc. Estudemuito!!!(aptcachesearchforensic). DEMONSTRAO.


    Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Laudodapercia
    Nohummodeloespecficoparalaudoourelatriode forense.difcilencontrarummodelonaInternet. Algunsdadosinteressantesparaacomposiodolaudo:
    >Dadospessoaisdoperito. >Perododarealizaodaforense. >Breverelatodoocorrido(notciasiniciais). >Dadosgeraissobreamquinae/ousistemaatacado(nomeda mquina,portasabertas,partiesexistentesetc). >Detalhamentodosprocedimentosrealizados. >Dadosefatosrelevantesencontrados. >Conclusoerecomendaes. >Apndiceseanexos.(incluircertificadodeintegridade) Eribertomai.10

    Sumrio
    Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

    Eribertomai.10

    Concluso
    Aperciaforensebuscaencontrardadosrelevantes,em meiosdearmazenagemdigital,comointuitodelevantar provassobreumfato. Umperitoforensedeveconhecerprofundamenteosistema operacionalqueeleirinvestigar.Casonooconhea, podersolicitarumauxiliartcnico. Aastciaeacriatividadesoessenciaisemqualquer investigao.Tenhaavontadedevenceroseuoponente.

    Estapalestraestdisponvelem http://www.eriberto.pro.br
    Eribertomai.10

    Você também pode gostar