Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Hoje a informao eletrnica fundamental para a manuteno e continuidade de negcio das empresas Em resposta a incidentes de segurana surge a necessidade da Investigao Forense em Computadores que deve ser tratada como uma cincia O objetivo identificar todos os processos envolvidos no incidente, desde os meios de comprometimento, como os recursos utilizados, as tcnicas, os recursos comprometidos, o nvel de comprometimento e os resultados obtidos pelo ataque Surge o papel do Perito em Investigao Forense em Computadores
INVESTIGAO FORENSE
Em 1998, nos EUA foi estabelecido um Grupo de Trabalho para tratar de Padres e Princpios para recuperao, preservao e anlise de evidncia Digital (FBI, NASA Department of Defense Computer Forensics Laboratory e Outros) Estes padres e princpios tratam da coleta, preservao, armazenamento, anlise e transporte da evidncia, garantindo a veracidade e autenticidade da mesma, tanto do ponto de vista tcnico, quanto legal Barreiras s Metodologias para Investigao Forense: Volume cada vez maior das informaes armazenadas, uso de encriptao, senhas, esteganografia, utilizao de mecanismos e ferramentas anti-forense Investigao Forense em Computadores Um nova cincia que surge, exigindo rduo e desafiante trabalho de atuao. Quem quer se
habilitar?
Conjunto de procedimentos e metodologia de trabalho, que visa anlise de sistema de computadores Emprega programas, aplicativos ou utilitrios Tem como objetivo extrair e preservar evidncias de atividades no autorizadas e/ou criminosas Envolve a preparao, preservao, identificao, extrao e documentao de evidncias eletrnicas, armazenadas em forma de cdigos magnticos ou digitais, visando obter a anlise da causa do(s) evento(s).
Coleta de evidncia
O que se espera encontrar na investigao: Fotos (pornografia, pedofilia) Planilhas, dados financeiros Vestgios de comprometimento por trojan, phishing Emails Etc....
EVIDNCIA
Dado eletrnico Qualquer registro, arquivo, cdigo fonte, programa, ou similar Localizado num recurso de armazenamento de um computador Evidncia eletrnica ser encontrada em qualquer documento Word, registros pessoais, listas de clientes e/ou fornecedores, informaes financeiras e contbeis, e-mails
Onde procurar Cluster no alocado (unallocated cluster) Cluster orfo (orphaned cluster) camuflagem Espao vazio (slack space)
Prioridade de procura de evidncias Cluster no alocado Marcado como vazio e disponvel para o sistema de arquivos Ainda contm dados Cluster rfo Marcado como usado pelo sistema de arquivos, no h arquivos, H perda de consistncia Espao vazio Espao do disco entre o fim do arquivo e o fim do cluster que o arquivo ocupa Camuflagem Usada para esconder informaes Por exemplo, um arquivo com extenso .doc, renomeado para extenso .bmp.
Preservao de evidncias - Resumo Guia bsico Faa cpia bit-a-bit Efetue a anlise na cpia (poder se necessrio restaurar novamente da original, caso dados sejam modificados Calcule o algoritmo hash (MD5 ou SHA) para garantia de integridade Use proteo de escrita (write-blocking) durante os procedimentos de utilizao da evidncia original Minimize o nmero de arquivos criados durante a anlise viva, pois poder haver re-escrita (overwrite) em espao no alocado (unallocated space) Cuidado ao abrir arquivos no sistema suspeito, durante a anlise viva, pois poder haver modificao de dados, como timestamp (last access time)
METODOLOGIA
Documentao
Esterilizao da mdia para receber a cpia Cpia, bit a bit, exata do original incluindo arquivos apagados, reas slack space, swap, unallocated space Autenticao via algoritmo matemtico SHA ou MD5, para garantia de integridade Uso de equipamento dedicado para anlise forense
Anlise Forense
Esterilizar a mdia (wipe) Procedimento inicial Esterilizar a mdia que ser utilizada para anlise e onde ser feita a cpia Objetivo de evitar a existncia de dados remanescentes, que possam comprometer a coleta da evidncia Emprego de prticas forenses Evitar cross-contamination Contaminao da evidncia por dados remanescentes D preferncia a um volume formatado com FAT32
Garantia de integridade da mdia a verificao se todos os dados foram copiados sem erros ou alteraes, garantindo que a cpia idntica mdia original Tcnicas para verificao da integridade, atravs de assinatura digital: Algoritmo checksum o mtodo de checagem de erros no dado digital, sendo em geral um polinmio de tamanho de 16 ou 32 bits que aplicado em cada byte do dado. O resultado um pequeno valor de 16 ou 32 bits e representa a concatenao do dado Algoritmo hash utilizado para proteger dados eletrnicos contra trocas no autorizadas, onde produzido um valor de tamanho fixo, normalmente de 80 a 240 bits, que representa o dado digital e conhecido como mtodo de caminho nico
MD5 tamanho da chave de 28 bits Algoritmo MD5 quebra um arquivo em blocos de 512 bits. Cada bloco executado uma srie de funes matemticas at produzir um nico valor hash de 128 bits para o arquivo
SHA-1 tamanho da chave de 160 bits SHA-256 tamanho da chave de 256 bits
COLISES MD5 Em 2004 Wang demonstrou que possvel gerar colises MD5 possvel criar 02 blocos com 512 bits e modificar especficos bits dentro dos blocos, criando duas diferentes mensagems (pequenas diferenas) e obter o mesmo valor de hash
Coliso MD5 The electronic world is no less secure after these announcements than it was before. (Schneier, 2004)
Armazenamento Espao existente do dado armazenado que vai do fim do arquivo ao fim do ltimo cluster assinalado para este arquivo Seleo randmica de dados de memria. Pode conter qualquer informao criada, vista, modificada ou copiada durante a sesso de trabalho Dados que j estiveram armazenados em memria, como por exemplo, arquivos apagados.
Ram Slack
Drive Slack
Anlise Forense
Arquivos temporrios
Aplicaes criam arquivos temporrios, armazenando informaes e liberando memria para outros propsitos . quando as aplicaes terminam os mesmos so apagados, no entanto os dados permanecem no disco rgido, at que novos dados sejam inseridos nesta rea. Word97 e o Word2000 podem criar 15 arquivos temporrios durante seu uso
reas Metadata
Armazenamento Contedo do dado que criado automaticamente por produtos do Microsoft Office. Pode conter nomes de pessoas, empresas e servidores, propriedades do arquivo, revises e verses do documento, comentrios
Quando se cria um arquivo, tambm criada uma entrada de diretrio para este arquivo e ao ser apagado e no enviado lixeira do Windows, a primeira letra do arquivo na entrada do diretrio trocada para um caractere especial (Hexa E5). O dado contido no arquivo permanece no disco rgido, at que seja escrito novo dado na mesma rea
Armazenamento So clusters que no so alocados correntemente pelo Sistema Operacional ou pela FAT e contm arquivos apagados no disco, onde novos dados ainda no foram inseridos
Anlise Forense Quando o sistema requer maior capacidade de RAM, dado do kernel swapped out para o disco rgido
Swap space
Pagefile.sys
Espao em disco utilizado pelo Sistema Operacional para processos de paginao e memria virtual
possvel que o processo de re-escrita de dados em reas que j continham dados no cluster seja parcial e neste caso pode-se recuperar dados no slack space.
SLACK SPACE Tamanho lgico do arquivo Tamanho exato do arquivo em bytes (1.713.152 bytes) Tamanho fsico do arquivo Espao ocupado no disco pelo arquivo Sempre ser um nmero completo de clusters (1.716.224 bytes) Diferena chamada Slack Space alocada ao arquivo mas no utilizada por ele
SLACK SPACE Tamanho lgico do arquivo Tamanho fsico do arquivo Slack Space Dado entre o fim do arquivo lgico at o fim da cluster contendo o dado Usualmente contem dados de arquivos que usuaram este espao anteriormente Grande fonte de evidncia
Espao no alocado
5.33 GB de espao livre do disco espao no alocado (Unallocated Space) Ao excluirmos um arquivo, este espao cresce, pois o espao reservado ao armazenamento do arquivo liberado e adicionado ao espao no alocado No entanto, os dados do arquivo continuam no espao no alocado (eles no so sobrescritos) e muitas vezes podem ser recuperados
Evidncias de um trojan
Sistema de Arquivos
Importncia da anlise em sistemas de arquivos
Durante o processo de anlise forense o perito precisa examinar dados Precisa entender e interpretar estes dados comum a anlise em sistemas de arquivos em parties ou discos, com: anlise de arquivos e diretrios recuperao de dados apagados anlise de contedo em setores SISTEMAS DE ARQUIVOS Basicamente so estruturas para armazenamento e recuperao de dados
Sistema de Arquivos
Importncia da anlise em sistemas de arquivos Categoria de dados sistema de arquivos contedo metadata nome do arquivo aplicao
NTFS
New Technologies File System NTFS Desenvolvido pela Microsoft Sistema de arquivos (file system) utilizado para Windows NT, Windows 2000, Windows XP e Windows Server (servidores Windows) Mais complexo que o sistema de arquivos FAT Caractersticas: - escalabilidade, segurana e suporte a devices com grande capacidade de armazenamento Pouca documentao sobre layout do disco Primeiros setores do volume contem o BOOT SECTOR e o BOOT CODE
NTFS
Master File Table (MFT) Grande importncia para este sistema de arquivos MFT um arquivo Contm a informao sobre todos os arquivos e diretrios Todo arquivo e diretrio contm pelo menos uma entrada na tabela Entradas so de tamanho de 1KB Primeiros 42 bytes utilizado para contedo Bytes remanescentes armazenam atributos (estruturas de dados) Exemplo de atributos: - utilizados para armazenar nome do arquivo, contedo do arquivo
NTFS
Arquivos Metadata do Sistema de Arquivos NTFS Microsoft reserva as 16 primeiras entradas MFT para arquivos metadatas Estas entradas so utilizadas para informaes bsicas Hidden para maioria de usurios Nome dos arquivos metadata comeam com $ e a primeira letra em maiscula
NTFS
Arquivos Metadata do Sistema de Arquivos NTFS
ENTRADA 0 1 2 3 4 5 6 7 8 9 10 NOME DO ARQUIVO $MFT $MFTMirr $LogFile $Volume $AttrDef $Bitmap $Boot $BadClus $Secure $Upcase $Extend DESCRIO Entrada da MFT Backup das primeiras entradas na MFT Registro das transaes metadata Informaes de volume (label, identificador e verso) Contm informaes de atributo (identificador, nome, tamanho) Status de alocao de cada cluster no file system Contm o boot sector e o boot code para o sistema de arquivos Contm as clusters com bad sectors Contm informaes sobre segurana e controle de acesso a arquivos (Win2000/XP) Contm uppercase version para cada caracter Unicode Diretrio que contm arquivos para extenses opcionais (reservado)
Arquivos Metadata do Sistema de Arquivos NTFS $MFT Um dos mais importantes arquivos Metadata (file system metadata) Contem a Master File Table (MFT) que tem uma entrada para cada arquivo e diretrio Primeira entrada da MFT (Master File Table) Este arquivo comea pequeno e aumenta conforme a criao de arquivos e diretrios
NTFS
NTFS
Arquivos Metadata do Sistema de Arquivos NTFS $MFTMirr Cpia backup da $MFT (primeiras entradas) e pode ser utilizada para recuperao Entrada 1 da MFT
NTFS
Clusters Cluster um grupo de setores consecutivos Nmero de setores por cluster potncia de 2 (1, 2 4, 8, 16) Cada cluster tem um endereo, iniciando com 0 (zero) Cluster 0 inicia com o primeiro setor do sistema de arquivos Converso de endereo de cluster para endereo de setor: SETOR = CLUSTER * SETORES POR CLUSTER Qualquer cluster pode ser alocada para qualquer arquivo ou atributo, com exceo do $Boot, que sempre alocado na primeira cluster Se o tamanho do volume no mltiplo do tamanho da cluster, alguns setores no final do disco no ser parte de uma cluster
NTFS
$Bitmap Especifica o status de alocao da cluster Este arquivo tem o atributo $DATA que tem 01 bit para cada cluster no sistema de arquivos Bit 0 corresponde a cluster 0 Bit 1 corresponde a cluster 1 se o bit setado para 1 = cluster alocada se o bit setado para 0 = cluster no alocada $BadClus Controle de cluster com erro (damaged clusters) $DATA attribute utilizado para alocao de cluster com erro/problema Windows adiciona clusters com problema ao atributo $DATA ($Bad)
NTFS
LAYOUT DO SISTEMA DE ARQUIVOS Sistema de arquivos NTFS podem ter requerimentos de layout diferentes, mas h caractersticas gerais Windows cria a MFT tanto menor quanto possvel e expande quando mais entradas so necessrias reservado parte do sistema de arquivos para a MFT MFT Zone uma coleo de clusters consecutivas que no so utilizadas para armazenar contedo de arquivos ou diretrios, a menos que o resto do disco esteja cheio. Por default, Microsoft aloca 12,5% do sistema de arquivos para a MFT Se o resto do arquivo est cheio, a MFT Zone ser usada Todas as verses de NTFS alocam as primeiras clusters para o arquivo $Boot
TCNICAS DE ANLISE Localizar uma especfica cluster Determinar o statusde alocao Processar seu contedo Dada uma especfica cluster: Primeira cluster o incio do sistema de arquivos Tamanho da cluster dado no primeiro setor Status da alocao da cluster determinado no arquivo $Bitmap Tcnica importante extrair UNALLOCATED SPACE do sistema de arquivos Examina-se o arquivo $Bitmap Extrai-se o contedo de cada cluster com bit 0 Pode haver evidncia relevante em setores depois da alocao do sistema de arquivos e antes do final do volume Clusters marcadas como Bad Cluster devem ser analisada, Discos podem marcar Bad Sectors
NTFS
Referncias Bibliogrficas
Sites de Referncia 22 http://www.cert.br/ - CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil 23 http://www.securityfocus.com - SecurityFocus 24 http://www.sans.org - SANS Institute 25 http://isc.incidents.org/ - Internet Storm Center 26 http://www.gocsi.com - Computer Security Institute 27 http://www.guidance.com/support/downloads.shtm - GUIDANCE SOFTWARE