Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sistemas de Informação: Segurança e Auditoria Prof. Dr. César Marcondes DC/ UFSCar UNIDADE 8 Análise Forense de Dados O que é Computação Forense? • Computação Forense é a aplicação de investigação de dispositivos de computação e técnicas de análise para obter evidência digital suficiente para ser apresentado um um tribunal • O termo "Computação Forense" foi criado em 1991 na primeira sessão de treinamento feita pela Associação Internacional de Especialistas Investigadores de Crimes de Computador (IACIS, http://www.cops.org) em Portland, Oregon Papel do Computador (ou Dispositivos Digitais) na Investigação de Crimes • como o instrumento para cometer um crime (um intrusão eletronica ou um desenvolvedor de vírus de computador usando os computadores em atividades ilegais) • como vítima (um sistema comprometido, dados roubados ou deletados)ou deletados) • como um local de armazenamento de dados de um crime (um celular que tira fotos de um carro roubado, mensagens de texto entre suspeitos) • Observação: Algumas vezes um dispositivo digital tem vários desses papéis Crimes com Computadores e Investigação da Cena de Crime (CSI) • Com os computadores pessoais e o acesso a Internet se tornando mais predominante, a sociedade moderna está ficando cada vez mais dependente do computador e de tecnologia de rede para armazenar, e compartilhar dados, e o email e mensagens instantâneas para comunicação. • A proliferação de computadores tornou os sistemas baseados em • A proliferação de computadores tornou os sistemas baseados em computadores e redes alvos fáceis para atividades criminais. • Segundo o Sargento de Esquadrão de Crimes de Computador - “Os crimes de computador, que se pensava originalmente somente em termos de hackers e desenvolvedores de vírus, pelo fato desses serem os primeiros nerds a terem acesso a computadores, hoje em dia, qualquer pessoa consegue com simples cliques usar o computador para cometer crimes." Principais etapas na manipulação de evidências digitais • Preservação: aquisição de provas, sem adulteração, preservando a custódia, transporte e armazenamento, e a coleta de dados dentro das restrições legais • Identificação: rotulando cada item de prova, colocando em sacos, identificação com número do caso, descrições, data/hora da coleta, assinaturas dos manipuladores • Extração: autenticar provas usando hashes, utilizar ferramentas e • Extração: autenticar provas usando hashes, utilizar ferramentas e procedimentos conhecidos para a análise de dados, pesquisas por palavra-chave, vizualização gráfica, estabelecer a linha de tempo dos eventos, corroborando com as evidências, “quem-o que- quando-onde-por que-como” • Documentação: ações tomadas durante a investigação, os resultados • Interpretação: testemunho e apresentação em tribunal, como examinador ou perito Ferramentas de Análise Forense Digital • Recursos fornecidos pelas ferramentas para auxiliar na análise forense: – Reconhecer partições de disco e sistemas de arquivos comuns (como Windows FAT e NTFS, ext2 e ext3 Linux, Unix UFS) – Recuperar arquivos e pastas deletadas – Buscar assinaturas de arquivos conhecidos em clusters em disco não alocadoalocado – Buscar palavras usando expressões regulares – Analisar arquivos registry (em sistemas Microsoft Windows) – Recuperar senhas do usuário – Recuperar emails e mensagens instantâneas (IMs) – Prover uma linha de tempo das atividades de acesso a arquivo baseado em carimbos de data/hora – Identificar arquivos conhecidos baseado em hashsets – Identificar artefatos específicos para o sistema operacional em disco Problemas em Análise Forense • análise forense baseada em máquinas trabalha com dispositivos pessoais ou desktops, pequenos o suficiente para ser levados para o laboratório e copiados para análise • análise forense baseada em redes lida com servidores, bancos de dados da empresa, os dispositivos de rede como roteadores, firewalls, detecção de intrusão • Três problemas estão envolvidos em investigações forense digital:• Três problemas estão envolvidos em investigações forense digital: – técnicas (o problema é possível): existem ferramentas para extrair as provas necessárias, se o pesquisador tem a perícia – legal (o problema nós podemos): há violação dos direitos constitucionais, que protegem contra a busca e a apreensão injustificadas, ex. escutas telefônicas digitais – ética (o problema nós poderíamos): as questões éticas relacionadas ao uso de computação forense incluem o uso adequado do poder do Ministério Público e da polícia Análise Forense de Sistema Ativo e Resposta a Incidentes • extrair informações sobre a execução de aplicativos (processos), arquivos abertos, conexões de rede, os dados contidos na RAM • máquinas servidoras que não podem ser desligadas ou tem muitos dados, o que exige técnicas de filtragem do sistema vivo • análise forense em tempo real em sistemas remotos (por exemplo, EnCase Enterprise Edition) em ambientes corporativos • ferramentas de código aberto como Helix e FIRE fornecem suporte • ferramentas de código aberto como Helix e FIRE fornecem suporte a análise forense de sistema vivo contendo Windows • ferramentas grátis que monitoram processos, arquivos, operações em disco, e as atividades de registro (registry) em tempo real • análise forense de sistemas Linux ao vivo Análise Estática e Dinâmica de Executáveis Desconhecidos • Códigos maliciosos tais como vírus, rootkits, trojans, spyware são arquivos executáveis (binários) • buscar strings dentro do executável pode revelar informações mínimas sobre a funcionalidade do código • um desassemblador (torna código binário em fonte) como o OllyDbg tem uma interface intuitiva, análise de código o OllyDbg tem uma interface intuitiva, análise de código avançado capaz de reconhecer procedimentos, loops, chamadas de API, switches, tabelas, constantes e strings. • um desassemblador e debugador como IDA Pro fornece a execução controlada de binários e a depuração de executáveis permitindo interações com o usuário e análise de comportamentos em tempo de execução Análise de dados de Discos Obtidos na Investigação • Aos investigadores forenses normalmente são dadas algumas informações sobre o caso, coisas como nomes, endereços, janela de tempo, os tipos de arquivos (filmes, planilhas, fotos), aplicativos instalados - que pode ajuda na fase de exame- que pode ajuda na fase de exame • Por outro lado, examinadores mais experientes sabem onde (arquivos, pastas, registro do Windows) procurar evidências relevantes, corroborar evidências, e como tirar o máximo proveito das ferramentas forenses Investigações em e-mails e mensagens instantâneas • a idéia é encontrar artefatos de e-mail baseado em cliente (por exemplo, arquivos PST do Outlook, arquivos DBX do Outlook Express) e e-mail baseado na web (Yahoo, Hotmail) • usar a ferramenta de código aberto FTK libPST (para • usar a ferramenta de código aberto FTK libPST (para Outlook), software Eindeutig (para Outlook Express), AOL clients (para e-mail AOL) para reconstruir e-mails • aplicar pesquisas de string (grep) para filtrar e-mails relevantes e mensagens instantâneas (IMs) • procurar endereços de origem no e-mail (leitura de informação de cabeçalho do e-mail) Arquivos do Registro do Windows • identificar os aplicativos instalados (data / hora, configurações, aplicativos excluídos) • identificar código malicioso instalado (sistemas comprometidos com o vírus, rootkits, spywares) • identificar documentos "mais recentemente • identificar documentos "mais recentemente utilizados" para entender as atividades recentes em um computador • identificar dispositivos conectadosaos computador via USB • Usar visualizadores de registro (ou o regedit) para visualizar arquivos de registro Atividades do Browser Web • Internet Explorer (IE) usa um histórico, cookies e Arquivos Temporários do Internet Explorer (cache da Internet, por exemplo) para salvar as atividades web. • C:\Documents and Settings\<User Name>\Local Settings\History\History.IE5\ • C:\Documents and Settings\<User Name>\\Local Settings\Temporary Internet Files\Content.IE5\Settings\Temporary Internet Files\Content.IE5\ • C:\Documents and Settings\<User Name>\Cookies\ • uso de ferramentas como FTK, Pasco, e galleta para visualizar as atividades de navegação do usuário • outro software conhecido é o Paraben's Netanalysis (ferramenta comercial) para analisar cache de Internet, histórico, cookies, mesmo em disco com clusters não alocados. Tipos de Técnicas e Dados para Análise Forense • Metadados em Arquivos – O sistema operacional normalmente registra informações como datas sobre a criação e modificação de arquivos. A maioria dos arquivos mais modernos (por ex. Microsoft Office, PDF, etc.) modernos (por ex. Microsoft Office, PDF, etc.) também tem uma boa quantidade de informações de meta-dados incluindo: • Nome do Autor • Hora da Criação • Tempo da Última Modificação • Versão do Software Meta-Dados (Propriedades do Documento Word) Meta-DadosMeta-Dados (Propriedades do Documento Word) Histórico de Revisão (Word) • Algumas vezes, deletar dados de um documento pode não deletar os dados do arquivo • Embora a versão antiga possa não estar visível, é possível recuperar dela. Ambas tem 21 letras, mas observando o binário .doc Recuperação de Dados • Quatro fotos são acidentalmente deletadas de um disco (rm –RF ./*) – oops ! • Recuperação de dados pode ser possível, dependendo no que aconteceu entre a deleção e a recuperação Recuperação de Dados • Criar uma imagem de um disco, que pode ser usada para recuperação de dados sem danificar os dados originais • (Unix) dd – copy a file, converting and formatting according to the operands. Recuperação de Dados • Os arquivos JPEG iniciam com uma seqüência de bytes conhecida "FFD8FFE0..." de modo que eles podem facilmente determinar onde cada arquivo JPEG começa no disco, e então recuperar o arquivo inteiro daquele ponto. Usando a ferramenta KHexEdit do Linux Recuperação de Dados • Uma vez que a localização do inicio de cada arquivo é conhecido, o comando dd pode ser usado para copiar uma seção dos dados daquela localização para um novo arquivo. • No exemplo, os arquivos recebem nomes img_0001.jpg ... Etc. • Sete imagens foram recuperadas nesse caso, que inclue as quatro imagens que foram recentemente deletadas, e outras três imagens que tinha sido armazenadas previamente no disco.que tinha sido armazenadas previamente no disco. Esteganografia • A ciência de esconder informação. • Embora o objetivo da • Embora o objetivo da criptografia seja tornar o dado ilegível para terceiros, o objetivo da esteganografia é esconder dados de terceiros Exemplo de Esteganografia • Escrever com fonte preta em um fundo preto em um documento ou página web • Embutir um texto em uma imagem • Funções escondidas na página web Esteganografia • Imagine um bloco de pontos coloridos (pixels) da figura ao lado: 10010101 00001101 11001001 10010110 00001111 11001010 10011111 00010000 … • Suponhamos que gostaríamos de "esconder" um mensagem "hello" na imagem, onde h -um mensagem "hello" na imagem, onde h - 01101000 • Se nós sobrepormos esses 9 bits da letra h como os bits menos significativos dos 8 bytes acima, nós obtemos o seguinte (onde os bits em vermelho foram modificados): 10010100 00001101 11001001 10010110 00001111 11001010 10011111 00010000 … http://www.webattack.com/download/dlstools.shtml Exemplos de Ferramentas - FTK Categorias de Arquivos Visualizador Fazendo análise de uma máquina Windows Lista de Arquivos Categorias de Arquivos http://accessdata.com/products/forensic-investigation/ftk FTK – Analisando Imagens Fazendo análise de uma máquina Windows IMAGENS - Icones FTK – Busca por String – “Janice” Fazendo análise de uma máquina Windows FTK – Visualizando arquivos de e-mail (arquivos dbx) The Sleuth Kit and Autopsy Browser Analizando arquivos deletados http://www.sleuthkit.org/ Helix – Análise de Sistema em Tempo Real (ao vivo) http://www.e-fense.com/products.php Usando Helix para Obter (uma Imagem) do Disco ou RAM • Helix uses dd (data dump) to duplicate disks Arquivo de Auditoria Helix Obrigado !!! Cesar Marcondes marcondes@dc.ufscar.br
Compartilhar