Análise Forense de Dados

Prévia do material em texto

Sistemas de Informação: Segurança e Auditoria 
Prof. Dr. César Marcondes
DC/ UFSCar
UNIDADE 8 
Análise Forense de Dados
O que é Computação Forense?
• Computação Forense é a aplicação de investigação de 
dispositivos de computação e técnicas de análise para obter 
evidência digital suficiente para ser apresentado um um
tribunal
• O termo "Computação Forense" foi criado em 1991 na 
primeira sessão de treinamento feita pela Associação 
Internacional de Especialistas Investigadores de Crimes de 
Computador (IACIS, http://www.cops.org) em Portland, 
Oregon
Papel do Computador (ou Dispositivos 
Digitais) na Investigação de Crimes
• como o instrumento para cometer um crime (um intrusão 
eletronica ou um desenvolvedor de vírus de computador 
usando os computadores em atividades ilegais)
• como vítima (um sistema comprometido, dados roubados 
ou deletados)ou deletados)
• como um local de armazenamento de dados de um crime 
(um celular que tira fotos de um carro roubado, mensagens 
de texto entre suspeitos)
• Observação: Algumas vezes um dispositivo digital tem 
vários desses papéis
Crimes com Computadores e 
Investigação da Cena de Crime (CSI)
• Com os computadores pessoais e o acesso a Internet se tornando 
mais predominante, a sociedade moderna está ficando cada vez 
mais dependente do computador e de tecnologia de rede para 
armazenar, e compartilhar dados, e o email e mensagens 
instantâneas para comunicação.
• A proliferação de computadores tornou os sistemas baseados em • A proliferação de computadores tornou os sistemas baseados em 
computadores e redes alvos fáceis para atividades criminais.
• Segundo o Sargento de Esquadrão de Crimes de Computador - “Os 
crimes de computador, que se pensava originalmente somente em 
termos de hackers e desenvolvedores de vírus, pelo fato desses 
serem os primeiros nerds a terem acesso a computadores, hoje em 
dia, qualquer pessoa consegue com simples cliques usar o 
computador para cometer crimes."
Principais etapas na manipulação 
de evidências digitais
• Preservação: aquisição de provas, sem adulteração, preservando a 
custódia, transporte e armazenamento, e a coleta de dados dentro 
das restrições legais
• Identificação: rotulando cada item de prova, colocando em sacos, 
identificação com número do caso, descrições, data/hora da coleta, 
assinaturas dos manipuladores
• Extração: autenticar provas usando hashes, utilizar ferramentas e • Extração: autenticar provas usando hashes, utilizar ferramentas e 
procedimentos conhecidos para a análise de dados, pesquisas por 
palavra-chave, vizualização gráfica, estabelecer a linha de tempo 
dos eventos, corroborando com as evidências, “quem-o que-
quando-onde-por que-como”
• Documentação: ações tomadas durante a investigação, os 
resultados
• Interpretação: testemunho e apresentação em tribunal, como 
examinador ou perito
Ferramentas de 
Análise Forense Digital
• Recursos fornecidos pelas ferramentas para auxiliar na análise 
forense:
– Reconhecer partições de disco e sistemas de arquivos comuns (como 
Windows FAT e NTFS, ext2 e ext3 Linux, Unix UFS)
– Recuperar arquivos e pastas deletadas
– Buscar assinaturas de arquivos conhecidos em clusters em disco não 
alocadoalocado
– Buscar palavras usando expressões regulares
– Analisar arquivos registry (em sistemas Microsoft Windows)
– Recuperar senhas do usuário
– Recuperar emails e mensagens instantâneas (IMs)
– Prover uma linha de tempo das atividades de acesso a arquivo 
baseado em carimbos de data/hora
– Identificar arquivos conhecidos baseado em hashsets
– Identificar artefatos específicos para o sistema operacional em disco
Problemas em Análise Forense
• análise forense baseada em máquinas trabalha com dispositivos 
pessoais ou desktops, pequenos o suficiente para ser levados para o 
laboratório e copiados para análise
• análise forense baseada em redes lida com servidores, bancos de 
dados da empresa, os dispositivos de rede como roteadores, 
firewalls, detecção de intrusão
• Três problemas estão envolvidos em investigações forense digital:• Três problemas estão envolvidos em investigações forense digital:
– técnicas (o problema é possível): existem ferramentas para extrair as 
provas necessárias, se o pesquisador tem a perícia
– legal (o problema nós podemos): há violação dos direitos 
constitucionais, que protegem contra a busca e a apreensão 
injustificadas, ex. escutas telefônicas digitais
– ética (o problema nós poderíamos): as questões éticas relacionadas 
ao uso de computação forense incluem o uso adequado do poder do 
Ministério Público e da polícia
Análise Forense de Sistema 
Ativo e Resposta a Incidentes
• extrair informações sobre a execução de aplicativos (processos), 
arquivos abertos, conexões de rede, os dados contidos na RAM
• máquinas servidoras que não podem ser desligadas ou tem muitos 
dados, o que exige técnicas de filtragem do sistema vivo
• análise forense em tempo real em sistemas remotos (por exemplo, 
EnCase Enterprise Edition) em ambientes corporativos
• ferramentas de código aberto como Helix e FIRE fornecem suporte • ferramentas de código aberto como Helix e FIRE fornecem suporte 
a análise forense de sistema vivo contendo Windows
• ferramentas grátis que monitoram processos, arquivos, operações 
em disco, e as atividades de registro (registry) em tempo real
• análise forense de sistemas Linux ao vivo
Análise Estática e Dinâmica de 
Executáveis Desconhecidos
• Códigos maliciosos tais como vírus, rootkits, trojans, 
spyware são arquivos executáveis (binários)
• buscar strings dentro do executável pode revelar 
informações mínimas sobre a funcionalidade do código
• um desassemblador (torna código binário em fonte) como 
o OllyDbg tem uma interface intuitiva, análise de código o OllyDbg tem uma interface intuitiva, análise de código 
avançado capaz de reconhecer procedimentos, loops, 
chamadas de API, switches, tabelas, constantes e strings.
• um desassemblador e debugador como IDA Pro fornece a 
execução controlada de binários e a depuração de 
executáveis permitindo interações com o usuário e análise 
de comportamentos em tempo de execução
Análise de dados de Discos 
Obtidos na Investigação
• Aos investigadores forenses normalmente são dadas 
algumas informações sobre o caso, coisas como 
nomes, endereços, janela de tempo, os tipos de 
arquivos (filmes, planilhas, fotos), aplicativos instalados 
- que pode ajuda na fase de exame- que pode ajuda na fase de exame
• Por outro lado, examinadores mais experientes sabem 
onde (arquivos, pastas, registro do Windows) procurar 
evidências relevantes, corroborar evidências, e como 
tirar o máximo proveito das ferramentas forenses
Investigações em e-mails e 
mensagens instantâneas
• a idéia é encontrar artefatos de e-mail baseado em 
cliente (por exemplo, arquivos PST do Outlook, 
arquivos DBX do Outlook Express) e e-mail baseado na 
web (Yahoo, Hotmail)
• usar a ferramenta de código aberto FTK libPST (para • usar a ferramenta de código aberto FTK libPST (para 
Outlook), software Eindeutig (para Outlook Express), 
AOL clients (para e-mail AOL) para reconstruir e-mails
• aplicar pesquisas de string (grep) para filtrar e-mails 
relevantes e mensagens instantâneas (IMs)
• procurar endereços de origem no e-mail (leitura de 
informação de cabeçalho do e-mail)
Arquivos do Registro do Windows
• identificar os aplicativos instalados (data / hora, 
configurações, aplicativos excluídos)
• identificar código malicioso instalado (sistemas 
comprometidos com o vírus, rootkits, spywares)
• identificar documentos "mais recentemente • identificar documentos "mais recentemente 
utilizados" para entender as atividades recentes 
em um computador
• identificar dispositivos conectadosaos 
computador via USB
• Usar visualizadores de registro (ou o regedit)
para visualizar arquivos de registro
Atividades do Browser Web
• Internet Explorer (IE) usa um histórico, cookies e Arquivos 
Temporários do Internet Explorer (cache da Internet, por exemplo) 
para salvar as atividades web.
• C:\Documents and Settings\<User Name>\Local 
Settings\History\History.IE5\
• C:\Documents and Settings\<User Name>\\Local 
Settings\Temporary Internet Files\Content.IE5\Settings\Temporary Internet Files\Content.IE5\
• C:\Documents and Settings\<User Name>\Cookies\
• uso de ferramentas como FTK, Pasco, e galleta para visualizar as 
atividades de navegação do usuário
• outro software conhecido é o Paraben's Netanalysis (ferramenta 
comercial) para analisar cache de Internet, histórico, cookies, 
mesmo em disco com clusters não alocados.
Tipos de Técnicas e Dados para 
Análise Forense
• Metadados em Arquivos
– O sistema operacional normalmente registra 
informações como datas sobre a criação e 
modificação de arquivos. A maioria dos arquivos mais 
modernos (por ex. Microsoft Office, PDF, etc.) modernos (por ex. Microsoft Office, PDF, etc.) 
também tem uma boa quantidade de informações de 
meta-dados incluindo: 
• Nome do Autor
• Hora da Criação
• Tempo da Última Modificação
• Versão do Software
Meta-Dados (Propriedades do 
Documento Word)
Meta-DadosMeta-Dados
(Propriedades do 
Documento Word)
Histórico de Revisão (Word)
• Algumas vezes, 
deletar dados de um 
documento pode 
não deletar os dados 
do arquivo
• Embora a versão 
antiga possa não 
estar visível, é 
possível recuperar 
dela.
Ambas tem 21 letras, mas 
observando o binário .doc
Recuperação de Dados
• Quatro fotos são acidentalmente deletadas de um 
disco (rm –RF ./*) – oops !
• Recuperação de dados pode ser possível, dependendo 
no que aconteceu entre a deleção e a recuperação
Recuperação de Dados
• Criar uma imagem de um disco, que pode ser usada 
para recuperação de dados sem danificar os dados 
originais
• (Unix) dd – copy a file, converting and formatting
according to the operands.
Recuperação de Dados
• Os arquivos JPEG iniciam com uma seqüência de bytes 
conhecida "FFD8FFE0..." de modo que eles podem 
facilmente determinar onde cada arquivo JPEG começa no 
disco, e então recuperar o arquivo inteiro daquele ponto.
Usando a ferramenta KHexEdit do Linux
Recuperação de Dados
• Uma vez que a localização do inicio de cada arquivo é conhecido, o 
comando dd pode ser usado para copiar uma seção dos dados 
daquela localização para um novo arquivo.
• No exemplo, os arquivos recebem nomes img_0001.jpg ... Etc.
• Sete imagens foram recuperadas nesse caso, que inclue as quatro 
imagens que foram recentemente deletadas, e outras três imagens 
que tinha sido armazenadas previamente no disco.que tinha sido armazenadas previamente no disco.
Esteganografia
• A ciência de esconder 
informação.
• Embora o objetivo da • Embora o objetivo da 
criptografia seja tornar 
o dado ilegível para 
terceiros, o objetivo da 
esteganografia é 
esconder dados de 
terceiros
Exemplo de Esteganografia
• Escrever com fonte preta em um fundo preto em um 
documento ou página web
• Embutir um texto em uma imagem
• Funções escondidas na página web
Esteganografia
• Imagine um bloco de pontos coloridos (pixels) 
da figura ao lado:
10010101 00001101 11001001
10010110 00001111 11001010
10011111 00010000 …
• Suponhamos que gostaríamos de "esconder" 
um mensagem "hello" na imagem, onde h -um mensagem "hello" na imagem, onde h -
01101000
• Se nós sobrepormos esses 9 bits da letra h como 
os bits menos significativos dos 8 bytes acima, 
nós obtemos o seguinte (onde os bits em 
vermelho foram modificados):
10010100 00001101 11001001
10010110 00001111 11001010
10011111 00010000 …
http://www.webattack.com/download/dlstools.shtml
Exemplos de Ferramentas - FTK
Categorias de Arquivos
Visualizador
Fazendo análise de uma 
máquina Windows
Lista de Arquivos
Categorias de Arquivos
http://accessdata.com/products/forensic-investigation/ftk
FTK – Analisando Imagens
Fazendo análise de 
uma máquina 
Windows
IMAGENS - Icones
FTK – Busca por String – “Janice”
Fazendo análise de uma 
máquina Windows
FTK – Visualizando arquivos 
de e-mail (arquivos dbx)
The Sleuth Kit and Autopsy 
Browser
Analizando
arquivos 
deletados
http://www.sleuthkit.org/
Helix – Análise de Sistema em 
Tempo Real (ao vivo)
http://www.e-fense.com/products.php
Usando Helix para Obter (uma 
Imagem) do Disco ou RAM
• Helix uses dd (data dump) to duplicate disks
Arquivo de Auditoria Helix
Obrigado !!!
Cesar Marcondes
marcondes@dc.ufscar.br