Prévia do material em texto
Paulo Alberto Neukamp Universidade do Vale do Rio dos Sinos – UNISINOS Graduação Tecnológica em Segurança da Informação FDTK-UbuntuBr Forense Digital ToolKit 1 28/09/08 Forense Digital ToolKit 2 Motivação para criar a distro; Dificuldades; Como foi feito; Testes realizados; O que foi feito até o TCC; O que foi feito após TCC; etc. Roteiro 28/09/08 3 Costruir uma distribuição que reúna as melhores ferramentas Linux disponíveis para a prática Forense Digital, estruturadas em conformidade com as técnicas recomentadas pelas melhores práticas internacionais. Forense Digital ToolKit Motivação 28/09/08 Forense Digital ToolKit 4 FDTK-UbuntuBr é um Live CD que também pode ser instalado; Criada a partir da distribuição Ubuntu 7.04; Focada em Forense Computacional; Utiliza o ambiente gráfico GNOME; Portada para o Português Brasil (pt_BR); Agregar as principais características de todas as distribuições estudadas (BackTrack, PHLAK, Auditor, Helix, F.I.R.E, nUbuntu, INSERT...); Possui menus estruturados de acordo com as etapas estudadas; Utilização profissional; Utilização no ensino e formação de novos profissionais. FDTK-UbuntuBr 28/09/08 5 Acesso a bibliografia; Pouco conhecimento em Linux; Pouco tempo disponível; Pouca de infra-estrutura; Forense Digital ToolKit Dificuldades 28/09/08 6 Forense Digital ToolKit Bibliografia Utilizada Livros Real Digital Forensics: Computer Security and In Response Keith J. Jones, Richard Bejtlich, Curtis W. Rose; Perícia Forense Computacional - Dan Farmer e Witse Venema; Digital Evidence and Computer Crime - Eoghan Casey; Sites FBI – Federal Boreau of Investigation; NIST – National Institute of Standards and Technology CSRC Computer Security Resource Center; The Computer Crime and Security Survey; CSRC-NIST - Computer Security Resource Center of National Institute of Standards and Tecnology; 28/09/08 7 Compra de HD’s; Máquinas para testes; Compra de cabos adaptadores; Dificuldade em conseguir dados para estudos; Acesso a servidores; Casos para analizar; Forense Digital ToolKit Infra-estrutura 28/09/08 8 Busca de conhecimento no Site da distribuição; Busca na rede (comunidades e Blog’s); Desenvolvimento em etapas para alcançar a meta final; Tradução para o PTbr (UCK); Montar os Menus; Fazer os scripts (Programas); Selecionar ícones; Personalizar; Colocar as coisas nos seus devidos lugares; Acertar permissões; Testes ( ………………MUIIIIIIIIIIITOS……………TESTES……….…………) Forense Digital ToolKit Como foi Feita! 28/09/08 9 Forense Digital ToolKit UCK – Ubuntu Customization Kit V 2.0.3 http://sourceforge.net/projects/uck/ Com o UCK é possível realizar mudanças na ISO limitadas a linha de comando e synaptic; Remover linguagens indesejadas e instalar somente a preferida; Instalar pacotes pelo synaptic; Fazer qualquer alteração no sistema via linha de comando; Remover todos os arquivos desnecessários ao final da compilação; http://sourceforge.net/projects/uck/ http://sourceforge.net/projects/uck/ 28/09/08 10 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 11 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 12 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 13 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 14 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 15 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 16 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 17 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 18 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 19 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 20 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 21 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 22 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 23 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 24 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 25 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 26 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 27 Forense Digital ToolKit UCK – Ubuntu Customization Kit 28/09/08 28 Forense Digital ToolKit Reconstructor V 2.8 http://reconstructor.aperantis.com/ Com o Reconstructor é possível realizar algumas mudanças a mais do que com o UCK; Remover linguagens indesejadas e instalar somente a preferida; Instalar pacotes pelo via linha de comando; Fazer qualquer alteração no sistema via linha de comando; Remover todos os arquivos desnecessários ao final da compilação; Não é necessário refazer toda o processo do inicio; Módulos prontos; Promessa para versão 2.9 ou 3.0 funcionar o Xnest; http://reconstructor.aperantis.com/ http://reconstructor.aperantis.com/ 28/09/08 29 Forense Digital ToolKit 28/09/08 30 Forense Digital ToolKit 28/09/08 31 Forense Digital ToolKit 28/09/08 32 Forense Digital ToolKit 28/09/08 33 Forense Digital ToolKit 28/09/08 34 Forense Digital ToolKit 28/09/08 35 Forense Digital ToolKit 28/09/08 36 Forense Digital ToolKit 28/09/08 37 Forense Digital ToolKit 28/09/08 38 Forense Digital ToolKit 28/09/08 39 Forense Digital ToolKit 28/09/08 40 Forense Digital ToolKit 28/09/08 41 Forense Digital ToolKit 28/09/08 42 Forense Digital ToolKit 28/09/08 43 Forense Digital ToolKit 28/09/08 44 Forense Digital ToolKit 28/09/08 45 Forense Digital ToolKit 28/09/08 46 Forense Digital ToolKit 28/09/08 47 Forense Digital ToolKit 28/09/08 48 Forense Digital ToolKit 28/09/08 49 Forense Digital ToolKit Foram criados 6 scripts para automatizar o processo de compilação ufdtk1.sh ufdtk2.sh instalar.sh remover.sh ufdtk2-clean.sh ufdtk3.sh Scripts para customização 28/09/08 50 Forense Digital ToolKit 28/09/08 51 Forense Digital ToolKit 28/09/08 52 Forense Digital ToolKit 28/09/08 53 Forense Digital ToolKit 28/09/08 54 Forense Digital ToolKit 28/09/08 55 Forense Digital ToolKit 28/09/08 56 Forense Digital ToolKit 28/09/08 57 Forense Digital ToolKit 28/09/08 58 Forense Digital ToolKit 28/09/08 59 Forense Digital ToolKit 28/09/08 60 Forense Digital ToolKit 28/09/08 61 Forense Digital ToolKit 28/09/08 62 Forense Digital ToolKit 28/09/08 63 Forense Digital ToolKit 28/09/08 64 Forense Digital ToolKit 28/09/08 65 Forense Digital ToolKit 28/09/08 66 Forense Digital ToolKit 28/09/08 67 Forense Digital ToolKit 28/09/08 68 Forense Digital ToolKit 28/09/08 69 Forense Digital ToolKit 28/09/08 70 Forense Digital ToolKit 28/09/08 71 Forense Digital ToolKit 28/09/08 72 Forense Digital ToolKit 28/09/08 73 Forense Digital ToolKit 28/09/08 74 Forense Digital ToolKit 28/09/08 75 Forense Digital ToolKit Scripts para os atalhos afcat.sh afcompare.sh afconvert.sh affix.sh afinfo.sh afstats.sh afxml.sh aimage.sh antiword.sh arj.sh autopsy.sh bcrypt.sh biew.sh blktool.sh cabextract.sh ccrypt.sh chkrootkit.sh chntpw.sh cookie_cruncher.pl cookie_cruncher.sh dcat.sh dcfldd.sh dcraw.sh dd_rescue.sh ddrescue.sh dd.sh discover.sh disktype.sh dumpster_dive.pl dumpster.sh e2undel.sh eindeutig.sh exifgrep.sh exifprobe.sh exif.sh exiftags.sh exiftran.sh exiv2.sh fatback.sh fccu-docprop.sh fccu.evtreader.pl fccu.evtreader.sh fccu-infile-search.sh fccu-search-files.sh fccu- sorter.sh fcrackzip.shforegone.pl foremost.sh Formulario.xls galleta.sh glark.sh gzrecover.sh hexcat.sh hexdump.sh imageindex.sh jhead.sh john.sh jpeginfo.sh lshw- web.sh mac-robber.sh mactime.sh magicrescue.sh md5sum.sh mdb- header.sh mdb-hexdump.sh medussa.sh mork.pl Mork.sh mscompress.sh msexpand.sh ms-sys.sh nepenthes.sh ntfscat.sh ntfsclone.sh ntfscluster.sh ntfsfix.sh ntfsinfo.sh ntfslabel.sh ntfsls.sh ntfsundelete.sh orange.sh outguess.sh p7zip.sh pasco.sh pdftk.sh pyflag.sh rdd.sh readpst.sh recoverjpg.sh recover.sh regp.pl regp.sh regtool.sh rifiuti.sh rkhunter.sh scrounge-ntfs.sh sdd.sh sha1sum.sh slocate.sh stegbreak.sh stegcompare.sh stegdeimage.sh stegdetect.sh testdisk.sh tnef.sh unace.sh unrar.sh unshield.sh unzip.sh wipe.sh zoo.sh 111 (scripts e atalhos) 28/09/08 76 O que foi feito após o TCC Forense Digital ToolKit Desenvolvida uma versão para ser executada a partir do Pendrive e documentação disponibilizada no site da distro; http://www.fdtk.com.br/files/fdtk-usb.doc Lançada a V.2.01 da distro baseada no Ubuntu 8.04 (12 nov.); Parceria com Aderbal Botelho ( Maceio) consultor Debian (14 anos); Registro de domínio fdtk.com.br; Nova home page http://fdtk.com.br; A distro foi utilizada como base em um treinamento ministrado pelo Aderbal a uma turma de peritos do Exercito Brasileiro em Novembro (Brasília); Lançado o EAD FDTK + Fink Training Tecnologia (Brasília) http://www.fdtk.com.br/moodle/ Iniciando criação da próxima versão ( baseada no Ubuntu 9.04) http://www.fdtk.com.br/files/fdtk-usb.doc http://www.fdtk.com.br/files/fdtk-usb.doc http://www.fdtk.com.br/files/fdtk-usb.doc http://fdtk.com.br/ http://www.fdtk.com.br/moodle/ 28/09/08 Forense Digital ToolKit Lançada em 12 de Novembro de 2008; Nova interface; Não utiliza SWAP; Não monta automaticamente as unidades de disco encontradas; Menus totalmente reescritos (XML); Adicionadas algumas novas ferramentas (Ex. dc3dd); Remoção do pyFLAG (incompatibilidade); O que foi feito na versão 2.01 28/09/08 Forense Digital ToolKit 28/09/08 Forense Digital ToolKit 28/09/08 Forense Digital ToolKit 28/09/08 Forense Digital ToolKit 28/09/08 82 Forense Digital ToolKit Novo Site: http://fdtk.com.br http://fdtk.com.br/ 28/09/08 Forense Digital ToolKit Novo Site: http://fdtk.com.br Forense Digital ToolKit http://fdtk.com.br/ 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 Forense Digital ToolKit Instalação Beta V3 28/09/08 100 O que ainda precisa ser feito!!! Forense Digital ToolKit Montar um pacote de execução na plataforma MS (sem instalação) Traduzir algumas ferramentas; Traduzir documentação de algumas ferramentas; Criar alguns Howto’s; Criar um logo e padronizar cores e emblemas; Testes: Testar a distro nas mais diversas situações; 28/09/08 Forense Digital ToolKit 101 Publicação na Dicas-L no dia 07/12/2007 http://www.dicas-l.com.br/dicas-l/20071207.php Projeto no codigolivre.org = 2341 downloads até 30/09/2008 http://fdtk.codigolivre.org.br/ Disponibilização no FTP da Unicamp = + de 3000 downloads ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk- ubuntubr-V1.1.iso Aprovação de um Minicurso no SBseg 2007; Convite para palestrar no 1º Meeting de Segurança da Informação – SENAI/CTAI – Florianópolis - SC. Diversos blog’s comentando e analizando a distro; Resultados Obtidos http://www.dicas-l.com.br/dicas-l/20071207.php http://www.dicas-l.com.br/dicas-l/20071207.php http://www.dicas-l.com.br/dicas-l/20071207.php http://www.dicas-l.com.br/dicas-l/20071207.php http://www.dicas-l.com.br/dicas-l/20071207.php http://www.dicas-l.com.br/dicas-l/20071207.php http://www.dicas-l.com.br/dicas-l/20071207.php http://www.dicas-l.com.br/dicas-l/20071207.php http://fdtk.codigolivre.org.br/ http://fdtk.codigolivre.org.br/ ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html http://www.ctai.senai.br/MeetingSeguranca.html 28/09/08 102 Forense Digital ToolKit Obrigado!!!