03 NovosDesafiosPericiaComput

GTER 39 | GTS 25
Novos Desafios das Percias

em Sistemas Computacionais
Ricardo Klber
1
Ricardo
Klber
NovosGTS
Desafios
das Percias
em Sistemas
Computacionais
Grupo
de Trabalho
em Segurana
(Rio de Janeiro,
28/05/2015)
Novos Desafios das Percias em Sistemas Computacionais
Roteiro desta apresentao
A computao forense
Cenrios tradicionais
Anti-forense computacional
Novos desafios
Cenas dos prximos captulos
Ricardo
Klber
NovosGTS
Desafios
das Percias
em Sistemas
Computacionais
Grupo
de Trabalho
em Segurana
(Rio de Janeiro,
28/05/2015)
A Computao Forense
Ricardo Klber
A Computao Forense
Contextualizando...
Cincias Forenses
Definio
Aplicao das cincias fsicas ao direito na busca da verdade em

matrias cveis, criminais, sociais e comportamentais a fim de que
no sejam cometidas injustias a nenhum membro da sociedade
Objetivo
Determinar o valor probatrio da cena do crime e as
evidncias relacionadas
Ricardo Klber
A Computao Forense
Definio (abrangente)
Computao Forense
um conjunto de procedimentos que

envolve a preservao, identificao,
extrao, interpretao e documentao
de evidncias computacionais, utilizando
metodologia adequada,
obedecendo
requisitos legais, zelando pela integridade, relatando com fidelidade as informaes extradas dos dados a partir de
opinies de especialistas em um tribunal
e/ou em processos administrativos, com
objetividade.
Ricardo Klber
A Computao Forense
Nomenclatura
Computao Forense
Percia Forense Computacional

Forense Computacional
Forense em Informtica
Forense Digital
Percia Digital
Percia em Informtica
Percia em Sistemas Computacionais
Percia Ciberntica
Percia Virtual !?
Ricardo Klber
Objetivos da Computao Forense

Em resumo...
Recuperar, analisar e preservar

computadores e materiais relacionados de tal forma que possam ser
apresentados como provas em um
tribunal de justia.
Identificar as evidncias rapidamente,
estimar o impacto potencial da atividade maliciosa na vtima, e avaliar a
inteno e a identidade do agressor
(ou coletar evidncias que ajudem
nesse objetivo).
Ricardo Klber
Questes Legais
A Base para o Incio
Artigo 170: "Nas percias de laboratrio, os peritos guardaro
material suficiente para a eventualidade de nova percia.
Sempre que conveniente, os laudos sero ilustrados com
provas fotogrficas, ou microfotogrficas, desenhos ou
esquemas.
Artigo 171: "Nos crimes cometidos com destruio ou
rompimento de obstculo a subtrao da coisa, ou por meio
de escalada, os peritos, alm de descrever os vestgios,
indicaro com que instrumentos, por que meios e em que
poca presumem ter sido o fato praticado".
Ricardo Klber
Computao Forense
Pontos Chave
Aquisio
Preservao
Identificao
Extrao
Recuperao
Anlise
Apresentao (documentao)
Ricardo Klber
Computao Forense
Termos Especficos Mais Relevantes
Cadeia de Custdia
Ordem de Volatilidade
Percia In Loco x Post Mortem
Mdia de Origem x Mdia de Destino
Assinatura Hash
Duplicao Pericial
Tipificao Especfica ou por Analogia
Ricardo Klber
Cenrios Tradicionais
Ricardo Klber
Ferramentas e tcnicas especficas para cada caso
Dados No-Volteis
Mdias (discos rgidos, pendrives, cds/dvds, )
Duplicao + Hash + Extrao + Recuperao
Dados Volteis
Memria
Dump de memria + File Carving
Trfego de Rede
Grampo + Anlise de Cabealhos + File Carving
Ricardo Klber
Mobile (um captulo parte)
Mobile Forensics Tradicional
Cabos adequados (conexo para acesso aos

dados)
Conhecimentos sobre restries de acesso

(rootear / jailbreak / )
Duplicao + Hash + Extrao + Recuperao
Informaes (tipo/localizao/restries) variam de acordo com aparelho/S.O.
Onde esto os dados mais importantes ???
Voc tem, realmente, tempo para fazer dessa forma? Ou o jeito?
Ricardo Klber
Mobile (um captulo parte)
Mobile Forensics
Solues comerciais = pague e use :)
Quer pagar quanto?
Ricardo Klber
Mobile Forensics
Solues Comerciais
https://www.msab.com/products/
Ricardo Klber
Mobile Forensics
Solues Comerciais
http://www.cellebrite.com/mobile-forensics
Ricardo Klber
Mobile Forensics
Solues Comerciais
www.oxygen-forensic.com/en/products/oxygen-forensic-extractor/for-mobile-devices
Ricardo Klber
Mobile Forensics
Solues Comerciais
http://www.mobiledit.com/forensic
Ricardo Klber
Anti Forense Computacional
Ricardo Klber

Tcnicas que dificultam o trabalho pericial
Volatilidade
Adequao e cooperao de provedores de contedo
Ata Notarial (assunto do momento)
Ricardo Klber

Criptografia
Ricardo Klber

Esterilizao (Wipe)
# wipe -q /dev/sda1
# wipe -Q 1000 /dev/sda1
# wipe -rf /home/conta_criminosa/

Ricardo Klber

USB Kill
http://github.com/hephaest0s/usbkill
usbkill is an anti-forensic kill-switch that waits for a change on your USB

ports and then immediately shuts down your computer.
To run:
sudo python usbkill.py
--no-shut-down: Execute all the (destructive) commands you defined in settings.ini,
but dont turn off the computer.
Ricardo Klber
Novos Desafios
Ricardo Klber
Novos Desafios
DVRs (Sistemas de CFTV)
Primeira Gerao
Arquivos H.264/AVI
Sist.Arquivos: FAT/NTFS/EXT3
Extrao Simples
Recuperao (Carving)
Ricardo Klber
Novos Desafios
Nova Gerao
Sistema Operacional (Embutido): Linux (modificado)
Formato dos Vdeos: H.264
Sistemas de Arquivos: DAHUA / MEIHDFS / DHFS / WFS

(Surveillance video encrypted)
Procedimentos (Percia Forense):
Duplicao do Disco Rgido
Extrao Simples
Recuperao (Carving)
Ricardo Klber
Novos Desafios
Nova Gerao
Necessrio conhecer:
Tipo de criptografia utilizada
Chave (sim, o padro tem sido utilizar uma chave mestra)
Mtodos de identificao dos vdeos (formatos/cabealhos)
Software Especfico
Arquivo de Imagem
(Disco do DVR)
Script !?
Framework !?
Ferramentas tradicionais
(atualizadas)!?
Vdeos
Extrados/Recuperados
Ricardo Klber
Novos Desafios
Nova Gerao
Suporte dos fabricantes no ajuda
Oferece softwares para visualizar arquivos

exportados a partir do prprio equipamento
Ricardo Klber
Novos Desafios
Nova Gerao
Solues disponveis para fazer na unha
Pioneer DVR Harddrive Recovery Tools
Mike Knoop
http://mikeknoop.com/pioneer-dvr-harddrive-recovery-tools
Scripts Python:
Extract.py Extrai sequncias MPEG de uma imagem de disco de um

DVR Pioneer (modelos DVR-633H e DVR545H)
Combine.py Concatena/combina mltiplos arquivos MPEG
Split.py Divide (split) arquivos manualmente
https://code.google.com/p/pioneer-rec/
Ricardo Klber
Novos Desafios
Nova Gerao
Solues disponveis para fazer na unha
Projeto ampliado para mais modelos de DVRs
Stefan Haller
https://github.com/haliner/dvr-recover
Modelos PANASONIC
DMR-EH55 / DMR-EH56 / DMR-EH57 / DMR-EX77 / DMR-EX85 /

DMR-XW300 / DVM-E80H
python dvr-recover.py [parmetros]
https://code.google.com/p/panasonic-rec/
Ricardo Klber
Novos Desafios
Nova Gerao
Quer pagar quanto?
Ricardo Klber
Novos Desafios
Nova Gerao
Huaxin Data Recovery (HX-Recovery for DVR)
Frombyte Recovery For DVR
www.hxsjhf.com | www.frombyte.com/Recovery
Windows XP, Windows 2000, Windows 2003, Windows 7, Windows 2008...
Opera diretamente sobre a imagem do disco do DVR
Suporte a: Dahua, DHFS v4.0 ou 4.1, WFS v 0.2, 0.3 ou 0.4
Extrai/Restaura e exporta em formatos H.264 ou AVI
U$ 680 (permanent version) | U$ 168 (one-time version)
Ricardo Klber
Novos Desafios
Nova Gerao
HX-Recovery for DVR
Ricardo Klber
Novos Desafios
Mquinas Virtuais
Servidor de Mquinas Virtuais
O importante no esquecer das regras
No acessar diretamente a mdia original !!!
Acessar o (S.O. do) Servidor ESXi no altera

dados das mdias originais (servidores virtuais)
OU
Ricardo Klber
Novos Desafios
Mquinas Virtuais
Procedimentos para cpia de evidncias (Mvs)
Copiar arquivos de cada diretrio (/vmfs/volumes/)
Calcular e registrar hashes Cadeia de Custdia
Analisar informaes de arquivos complementares
Manipular cpia do arquivo de imagem do disco (VMDK) normalmente
A imagem pode ser montada e analisada como um disco
Procedimentos de anlise e extrao simples
A imagem pode ser analisada diretamente (com ferramentas forenses)
Procedimentos de recuperao / carving de arquivos
Ricardo Klber
Novos Desafios
Mquinas Virtuais
Arquivos relevantes:
Nome_da_MV.vmx
Arquivo de configurao principal da MV
Detalha componentes fsicos e lgicos da MV
Nome_da_MV.vmxf :: Arquivo de configurao complementar
Nome_da_MV.vmdk :: Contedo (completo) dos discos da mquina virtual
Nome_da_MV.vmsd :: Informaes e metadados da MV
Nome_da_MV.nvram :: BIOS da MV
vmware(-*).log :: Logs das atividades da MV
Ricardo Klber
Novos Desafios
Mquinas Virtuais
Exemplo de manipulao / anlise de arquivos .VMDK:

/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01
# du -khs /vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01/*
50.0G
1.0M
0
0
8.0K
0
1.0M
1.0M
/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01/SRV_01-flat.vmdk
/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01/SRV_01.nvram
/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01/SRV_01.vmdk
/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01/SRV_01.vmsd
/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01/SRV_01.vmx
/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01/SRV_01.vmxf
/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01/vmware-1.log
/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_01/vmware.log
# fdisk -l SRV_01-flat.vmdk
Disk SRV_01-flat.vmdk: 53.7 GB, 53687091200 bytes
255 heads, 63 sectors/track, 6527 cylinders, total 104857600 sectors
Units = setores of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x0001c5f4
Dispositivo
Boot
SRV_01-flat.vmdk1
*
SRV_01-flat.vmdk2
SRV_01-flat.vmdk5
Start
2048
100665342
100665344
End
100663295
104855551
104855551
Blocks
50330624
2095105
2095104
Id
83
5
82
System
Linux
Estendida
Linux swap / Solaris
Ricardo Klber
Novos Desafios
Mquinas Virtuais
Exemplo de manipulao / anlise de arquivos .VMDK:

/vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_02
# du -khs /vmfs/volumes/5305c92a-d3816e70-b5f7-001a3fb1453a/SRV_02/*
1.8T
1.0M
0
0
8.0K
0
1.0M
/vmfs/volumes/5321a1c4-d93116e0-a6bc-001a3fb1453a/SRV_02/SRV_02-flat.vmdk
/vmfs/volumes/5321a1c4-d93116e0-a6bc-001a3fb1453a/SRV_02/SRV_02.nvram
/vmfs/volumes/5321a1c4-d93116e0-a6bc-001a3fb1453a/SRV_02/SRV_02.vmdk
/vmfs/volumes/5321a1c4-d93116e0-a6bc-001a3fb1453a/SRV_02/SRV_02.vmsd
/vmfs/volumes/5321a1c4-d93116e0-a6bc-001a3fb1453a/SRV_02/SRV_02.vmx
/vmfs/volumes/5321a1c4-d93116e0-a6bc-001a3fb1453a/SRV_02/SRV_02.vmxf
/vmfs/volumes/5321a1c4-d93116e0-a6bc-001a3fb1453a/SRV_02/vmware.log
# fdisk -l SRV_02-flat.vmdk
Disk SRV_02-flat.vmdk: 1979.1 GB, 1979120929792 bytes
255 heads, 63 sectors/track, 240614 cylinders, total 3865470566 sectors
Units = setores of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x9a3f5eb9512 bytes / 512 bytes
Disk identifier: 0x0001c5f4
Dispositivo
Boot
SRV_02-flat.vmdk1
*
SRV_02-flat.vmdk2
SRV_02-flat.vmdk3
Start
2048
206848
225280000
End
206847
225279999
3865466879
Blocks
102400
112536576
1820093440
Id
7
7
7
System
HPFS/NTFS/exFAT
HPFS/NTFS/exFAT
HPFS/NTFS/exFAT
Ricardo Klber
Novos Desafios
Mquinas Virtuais
Quer pagar quanto?
Frombyte Recovery For ESX
U$1050.00
www.frombyte.com/Recovery/2012/1108/5.html
Ricardo Klber
Cenas dos prximos captulos
Ricardo Klber
Cenas dos Prximos Captulos

Ou no?
Ricardo Klber
Cenas dos Prximos Captulos

Ou no?
Computao Forense nas Nuvens
Quer pagar quanto?
Ricardo Klber

Solues comerciais
www.cellebrite.com/mobile-forensics/applications/UFED-Cloud-Analyzer
Ricardo Klber

Solues comerciais
www.oxygen-forensic.com/en/products/oxygen-forensic-extractor/for-clouds
Ricardo Klber
GTER 39 | GTS 25
Novos Desafios das Percias

em Sistemas Computacionais
ricardokleber@ricardokleber.com
@ricardokleber | @segurancaderede
www.segurancaderedes.com.br
www.youtube.com/segurancaderedes
Ricardo Klber

03 NovosDesafiosPericiaComput

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

03 NovosDesafiosPericiaComput

Enviado por

Direitos autorais:

Formatos disponíveis

GTER 39 | GTS 25

Novos Desafios das Percias

Novos Desafios das Percias em Sistemas Computacionais

Roteiro desta apresentao

Cenas dos prximos captulos

Novos Desafios das Percias em Sistemas Computacionais

Aplicao das cincias fsicas ao direito na busca da verdade em

Novos Desafios das Percias em Sistemas Computacionais

um conjunto de procedimentos que

Percia Forense Computacional

Objetivos da Computao Forense

Recuperar, analisar e preservar

Novos Desafios das Percias em Sistemas Computacionais

Novos Desafios das Percias em Sistemas Computacionais

Percia In Loco x Post Mortem

Mdia de Origem x Mdia de Destino

Tipificao Especfica ou por Analogia

Novos Desafios das Percias em Sistemas Computacionais

Novos Desafios das Percias em Sistemas Computacionais

Mdias (discos rgidos, pendrives, cds/dvds, )

Duplicao + Hash + Extrao + Recuperao

Dump de memria + File Carving

Grampo + Anlise de Cabealhos + File Carving

Novos Desafios das Percias em Sistemas Computacionais

Mobile Forensics Tradicional

Cabos adequados (conexo para acesso aos

Conhecimentos sobre restries de acesso

Duplicao + Hash + Extrao + Recuperao

Informaes (tipo/localizao/restries) variam de acordo com aparelho/S.O.

Onde esto os dados mais importantes ???

Voc tem, realmente, tempo para fazer dessa forma? Ou o jeito?

Novos Desafios das Percias em Sistemas Computacionais

Solues comerciais = pague e use :)

Quer pagar quanto?

Novos Desafios das Percias em Sistemas Computacionais

Anti Forense Computacional

Novos Desafios das Percias em Sistemas Computacionais

Anti Forense Computacional

Adequao e cooperao de provedores de contedo

Ata Notarial (assunto do momento)

Novos Desafios das Percias em Sistemas Computacionais

Anti Forense Computacional

Novos Desafios das Percias em Sistemas Computacionais

Anti Forense Computacional

# wipe -Q 1000 /dev/sda1

# wipe -rf /home/conta_criminosa/

Anti Forense Computacional

usbkill is an anti-forensic kill-switch that waits for a change on your USB

Novos Desafios das Percias em Sistemas Computacionais

Novos Desafios das Percias em Sistemas Computacionais

Novos Desafios das Percias em Sistemas Computacionais

Sistema Operacional (Embutido): Linux (modificado)

Formato dos Vdeos: H.264

Sistemas de Arquivos: DAHUA / MEIHDFS / DHFS / WFS

Procedimentos (Percia Forense):

Duplicao do Disco Rgido

Novos Desafios das Percias em Sistemas Computacionais

Tipo de criptografia utilizada

Chave (sim, o padro tem sido utilizar uma chave mestra)

Mtodos de identificao dos vdeos (formatos/cabealhos)

Novos Desafios das Percias em Sistemas Computacionais

Suporte dos fabricantes no ajuda