AUDITORIA E FORENSE COMPUTACIONAL

Hoje a informao eletrnica fundamental para a manuteno e continuidade de negcio das empresas Em resposta a incidentes de segurana surge a necessidade da Investigao Forense em Computadores que deve ser tratada como uma cincia O objetivo identificar todos os processos envolvidos no incidente, desde os meios de comprometimento, como os recursos utilizados, as tcnicas, os recursos comprometidos, o nvel de comprometimento e os resultados obtidos pelo ataque Surge o papel do Perito em Investigao Forense em Computadores

INVESTIGAO FORENSE

Em 1998, nos EUA foi estabelecido um Grupo de Trabalho para tratar de Padres e Princpios para recuperao, preservao e anlise de evidncia Digital (FBI, NASA Department of Defense Computer Forensics Laboratory e Outros) Estes padres e princpios tratam da coleta, preservao, armazenamento, anlise e transporte da evidncia, garantindo a veracidade e autenticidade da mesma, tanto do ponto de vista tcnico, quanto legal Barreiras s Metodologias para Investigao Forense: Volume cada vez maior das informaes armazenadas, uso de encriptao, senhas, esteganografia, utilizao de mecanismos e ferramentas anti-forense Investigao Forense em Computadores Um nova cincia que surge, exigindo rduo e desafiante trabalho de atuao. Quem quer se

habilitar?

Investigao forense em computadores

Conjunto de procedimentos e metodologia de trabalho, que visa anlise de sistema de computadores Emprega programas, aplicativos ou utilitrios Tem como objetivo extrair e preservar evidncias de atividades no autorizadas e/ou criminosas Envolve a preparao, preservao, identificao, extrao e documentao de evidncias eletrnicas, armazenadas em forma de cdigos magnticos ou digitais, visando obter a anlise da causa do(s) evento(s).

Coleta de evidncia

Melhores prticas para anlise forense, conforme SWGDE

The Scientific Working Group on Digital Evidence (SWGDE) Grupo criado nos Estados Unidos em 1998 Objetivo tratar de padres e princpios para recuperao, preservao e anlise de evidncia digital Membros do grupo:-FBI, US Postal Inspection Service e NASA Department of Defense Computer Forensics Laboratory.

Melhores prticas para anlise forense, conforme SWGDE

Princpio 1
Para coleta, preservao, anlise ou transporte da evidncia, garantindo a veracidade e autenticidade da mesma, tanto do ponto de vista tcnico, quanto legal, exige-se que sejam criados procedimentos e padres operacionais - Standard Operating Procedures SOPs, aceitos independentes dos equipamentos, programas ou materiais utilizados na investigao forense e que possam ser utilizados para registros de qualquer caso

Melhores prticas para anlise forense, conforme SWGDE

Padro e critrio 1.1 - Standards and Criteria 1.1 Manter documentao clara de todos os processos de investigao Padro e critrio 1.2 - Standards and Criteria 1.2 Rever continuamente procedimentos e padres operacionais para garantir eficcia e continuidade de seus propsitos Padro e critrio 1.3 - Standards and Criteria 1.3 Procedimentos utilizados precisam ser aceitos tecnicamente em campo, suportado pela coleta de dados e registrado de maneira cientfica Padro e critrio 1.4 - Standards and Criteria 1.4 Responsveis pela investigao forense precisam manter cpias dos procedimentos tcnicos Padro e critrio 1.5 - Standards and Criteria 1.5 Devem ser utilizados equipamentos e programas apropriados e efetivos durante a investigao, na coleta e manuseio da evidncia

Melhores prticas para anlise forense, conforme SWGDE

Padro e critrio 1.6 - Standards and Criteria 1.6 Atividades relacionadas ao manuseio, armazenamento, anlise ou transferncia da evidncia digital precisam ser registradas de acordo com os procedimentos estabelecidos, e podero ser utilizadas para fins legais ou tcnicos. Padro e critrio 1.7 - Standards and Criteria 1.7 Qualquer ao que possa alterar, danificar ou destruir qualquer aspecto da evidncia original precisa ser feita por pessoa qualificada no mbito da investigao forense.

IETF RFC 3227 Procedimentos durante a investigao forense

RFC
Melhores prticas de investigao forense Objetivo - obter evidncia relevante e admissvel no processo da investigao e para se necessrio apresentao em juzo Evidncia: Precisa ser admissvel e autntica Estar em conformidade com aspectos legais Ser material relevante ao incidente Ser completa no seu contexto e confivel, ou seja, No causar dvida sobre sua autenticidade e veracidade

RELEVNCIA NA EVIDNCIA OBTIDA

Objetivo Reduo de tempo de anlise Aumento do ndice de preciso na obteno dos resultados, considerando os obstculos que dificultam a anlise forense Obstculos Grande volume de dados a ser analisado Uso de criptografia, dados escondidos, comprimidos Deleo segura (wipe)

RELEVNCIA NA EVIDNCIA OBTIDA

Proporcionalidade de caracteres ASCII e entropia Procura por palavras chaves, significantes investigao Palavras senha, conta, hacker e outras que tenham relevncia a cada processo investigatrio Avaliao da probabilidade de informao textual, baseando-se na poro de informaes ASCII e no ASCII existente na evidncia Entropia Proporcionalidade de informaes contidas em arquivos comprimidos, zipados, criptografado Dados criptografados so em geral no comprimidos e com alto valor de entropia Quanto maior o valor de entropia, mais difcil ser obter a compresso

RELEVNCIA NA EVIDNCIA OBTIDA

O que se espera encontrar na investigao: Fotos (pornografia, pedofilia) Planilhas, dados financeiros Vestgios de comprometimento por trojan, phishing Emails Etc....

EVIDNCIA

Dado eletrnico Qualquer registro, arquivo, cdigo fonte, programa, ou similar Localizado num recurso de armazenamento de um computador Evidncia eletrnica ser encontrada em qualquer documento Word, registros pessoais, listas de clientes e/ou fornecedores, informaes financeiras e contbeis, e-mails

Prioridade de procura de evidncias

Onde procurar Cluster no alocado (unallocated cluster) Cluster orfo (orphaned cluster) camuflagem Espao vazio (slack space)

Prioridade de procura (mximo 3) 3 2 1 0

Prioridade de procura de evidncias Cluster no alocado Marcado como vazio e disponvel para o sistema de arquivos Ainda contm dados Cluster rfo Marcado como usado pelo sistema de arquivos, no h arquivos, H perda de consistncia Espao vazio Espao do disco entre o fim do arquivo e o fim do cluster que o arquivo ocupa Camuflagem Usada para esconder informaes Por exemplo, um arquivo com extenso .doc, renomeado para extenso .bmp.

Preservao de evidncias - Resumo Guia bsico Faa cpia bit-a-bit Efetue a anlise na cpia (poder se necessrio restaurar novamente da original, caso dados sejam modificados Calcule o algoritmo hash (MD5 ou SHA) para garantia de integridade Use proteo de escrita (write-blocking) durante os procedimentos de utilizao da evidncia original Minimize o nmero de arquivos criados durante a anlise viva, pois poder haver re-escrita (overwrite) em espao no alocado (unallocated space) Cuidado ao abrir arquivos no sistema suspeito, durante a anlise viva, pois poder haver modificao de dados, como timestamp (last access time)

Fonte: Carrier File System Forensic Analysis

METODOLOGIA
Documentao

OBJETIVO Documentar toda ao executada

Evita a existncia de dados Remanescentes e facilita a Aceitao em juzo Obteno de evidncia, em especial em reas de difcil Acesso (dados apagados, rea swap)

Esterilizao da mdia para receber a cpia Cpia, bit a bit, exata do original incluindo arquivos apagados, reas slack space, swap, unallocated space Autenticao via algoritmo matemtico SHA ou MD5, para garantia de integridade Uso de equipamento dedicado para anlise forense

Anlise Forense

Recurso eficiente para garantia da integridade na obteno de evidncia

Sistema original pode estar comprometido

Esterilizar a mdia (wipe) Procedimento inicial Esterilizar a mdia que ser utilizada para anlise e onde ser feita a cpia Objetivo de evitar a existncia de dados remanescentes, que possam comprometer a coleta da evidncia Emprego de prticas forenses Evitar cross-contamination Contaminao da evidncia por dados remanescentes D preferncia a um volume formatado com FAT32

Esterilizar a mdia (wipe) Exemplo: - wipe drive com Encase

Garantia de integridade da mdia a verificao se todos os dados foram copiados sem erros ou alteraes, garantindo que a cpia idntica mdia original Tcnicas para verificao da integridade, atravs de assinatura digital: Algoritmo checksum o mtodo de checagem de erros no dado digital, sendo em geral um polinmio de tamanho de 16 ou 32 bits que aplicado em cada byte do dado. O resultado um pequeno valor de 16 ou 32 bits e representa a concatenao do dado Algoritmo hash utilizado para proteger dados eletrnicos contra trocas no autorizadas, onde produzido um valor de tamanho fixo, normalmente de 80 a 240 bits, que representa o dado digital e conhecido como mtodo de caminho nico

Garantia de integridade da mdia

MD5 tamanho da chave de 28 bits Algoritmo MD5 quebra um arquivo em blocos de 512 bits. Cada bloco executado uma srie de funes matemticas at produzir um nico valor hash de 128 bits para o arquivo

SHA-1 tamanho da chave de 160 bits SHA-256 tamanho da chave de 256 bits

COLISES MD5 Em 2004 Wang demonstrou que possvel gerar colises MD5 possvel criar 02 blocos com 512 bits e modificar especficos bits dentro dos blocos, criando duas diferentes mensagems (pequenas diferenas) e obter o mesmo valor de hash

Coliso MD5 The electronic world is no less secure after these announcements than it was before. (Schneier, 2004)

Exemplo: - Verificao hash Ferramenta FTK

reas File Slack

Armazenamento Espao existente do dado armazenado que vai do fim do arquivo ao fim do ltimo cluster assinalado para este arquivo Seleo randmica de dados de memria. Pode conter qualquer informao criada, vista, modificada ou copiada durante a sesso de trabalho Dados que j estiveram armazenados em memria, como por exemplo, arquivos apagados.

Ram Slack

Drive Slack

Anlise Forense

Arquivos temporrios

Aplicaes criam arquivos temporrios, armazenando informaes e liberando memria para outros propsitos . quando as aplicaes terminam os mesmos so apagados, no entanto os dados permanecem no disco rgido, at que novos dados sejam inseridos nesta rea. Word97 e o Word2000 podem criar 15 arquivos temporrios durante seu uso

reas Metadata

Armazenamento Contedo do dado que criado automaticamente por produtos do Microsoft Office. Pode conter nomes de pessoas, empresas e servidores, propriedades do arquivo, revises e verses do documento, comentrios

Anlise Forense Arquivos apagados, excludos e no subscritos

Quando se cria um arquivo, tambm criada uma entrada de diretrio para este arquivo e ao ser apagado e no enviado lixeira do Windows, a primeira letra do arquivo na entrada do diretrio trocada para um caractere especial (Hexa E5). O dado contido no arquivo permanece no disco rgido, at que seja escrito novo dado na mesma rea

reas Espao no alocado - Unallocated Space ou Unallocated clusters

Armazenamento So clusters que no so alocados correntemente pelo Sistema Operacional ou pela FAT e contm arquivos apagados no disco, onde novos dados ainda no foram inseridos

Anlise Forense Quando o sistema requer maior capacidade de RAM, dado do kernel swapped out para o disco rgido

Swap space

Pagefile.sys

Espao em disco utilizado pelo Sistema Operacional para processos de paginao e memria virtual

ESPAO DE SLACK SPACE NO CLUSTER (ESPAO VAZIO)

possvel que o processo de re-escrita de dados em reas que j continham dados no cluster seja parcial e neste caso pode-se recuperar dados no slack space.

SLACK SPACE Tamanho lgico do arquivo Tamanho exato do arquivo em bytes (1.713.152 bytes) Tamanho fsico do arquivo Espao ocupado no disco pelo arquivo Sempre ser um nmero completo de clusters (1.716.224 bytes) Diferena chamada Slack Space alocada ao arquivo mas no utilizada por ele

SLACK SPACE Tamanho lgico do arquivo Tamanho fsico do arquivo Slack Space Dado entre o fim do arquivo lgico at o fim da cluster contendo o dado Usualmente contem dados de arquivos que usuaram este espao anteriormente Grande fonte de evidncia

Espao no alocado

5.33 GB de espao livre do disco espao no alocado (Unallocated Space) Ao excluirmos um arquivo, este espao cresce, pois o espao reservado ao armazenamento do arquivo liberado e adicionado ao espao no alocado No entanto, os dados do arquivo continuam no espao no alocado (eles no so sobrescritos) e muitas vezes podem ser recuperados

Exemplos de Cookies ferramenta Helix

Exemplos de History (IE) ferramenta Helix

Evidncias de um trojan

Sistema de Arquivos
Importncia da anlise em sistemas de arquivos
Durante o processo de anlise forense o perito precisa examinar dados Precisa entender e interpretar estes dados comum a anlise em sistemas de arquivos em parties ou discos, com: anlise de arquivos e diretrios recuperao de dados apagados anlise de contedo em setores SISTEMAS DE ARQUIVOS Basicamente so estruturas para armazenamento e recuperao de dados

Geometria de um disco trilhas e setores

Cilindro = todas as trilhas (platter) Cada trilha dividida em setores 512 bytes tamanho da maioria dos setores nos discos

Setor=menor unidade de armazenamento enderevel no disco

Sistema de Arquivos
Importncia da anlise em sistemas de arquivos Categoria de dados sistema de arquivos contedo metadata nome do arquivo aplicao

NTFS
New Technologies File System NTFS Desenvolvido pela Microsoft Sistema de arquivos (file system) utilizado para Windows NT, Windows 2000, Windows XP e Windows Server (servidores Windows) Mais complexo que o sistema de arquivos FAT Caractersticas: - escalabilidade, segurana e suporte a devices com grande capacidade de armazenamento Pouca documentao sobre layout do disco Primeiros setores do volume contem o BOOT SECTOR e o BOOT CODE

NTFS
Master File Table (MFT) Grande importncia para este sistema de arquivos MFT um arquivo Contm a informao sobre todos os arquivos e diretrios Todo arquivo e diretrio contm pelo menos uma entrada na tabela Entradas so de tamanho de 1KB Primeiros 42 bytes utilizado para contedo Bytes remanescentes armazenam atributos (estruturas de dados) Exemplo de atributos: - utilizados para armazenar nome do arquivo, contedo do arquivo

Dados de um sistema de arquivos NTFS

NTFS
Arquivos Metadata do Sistema de Arquivos NTFS Microsoft reserva as 16 primeiras entradas MFT para arquivos metadatas Estas entradas so utilizadas para informaes bsicas Hidden para maioria de usurios Nome dos arquivos metadata comeam com $ e a primeira letra em maiscula

NTFS
Arquivos Metadata do Sistema de Arquivos NTFS
ENTRADA 0 1 2 3 4 5 6 7 8 9 10 NOME DO ARQUIVO $MFT $MFTMirr $LogFile $Volume $AttrDef $Bitmap $Boot $BadClus $Secure $Upcase $Extend DESCRIO Entrada da MFT Backup das primeiras entradas na MFT Registro das transaes metadata Informaes de volume (label, identificador e verso) Contm informaes de atributo (identificador, nome, tamanho) Status de alocao de cada cluster no file system Contm o boot sector e o boot code para o sistema de arquivos Contm as clusters com bad sectors Contm informaes sobre segurana e controle de acesso a arquivos (Win2000/XP) Contm uppercase version para cada caracter Unicode Diretrio que contm arquivos para extenses opcionais (reservado)

Arquivos Metadata do Sistema de Arquivos NTFS $MFT Um dos mais importantes arquivos Metadata (file system metadata) Contem a Master File Table (MFT) que tem uma entrada para cada arquivo e diretrio Primeira entrada da MFT (Master File Table) Este arquivo comea pequeno e aumenta conforme a criao de arquivos e diretrios

NTFS

NTFS
Arquivos Metadata do Sistema de Arquivos NTFS $MFTMirr Cpia backup da $MFT (primeiras entradas) e pode ser utilizada para recuperao Entrada 1 da MFT

NTFS
Clusters Cluster um grupo de setores consecutivos Nmero de setores por cluster potncia de 2 (1, 2 4, 8, 16) Cada cluster tem um endereo, iniciando com 0 (zero) Cluster 0 inicia com o primeiro setor do sistema de arquivos Converso de endereo de cluster para endereo de setor: SETOR = CLUSTER * SETORES POR CLUSTER Qualquer cluster pode ser alocada para qualquer arquivo ou atributo, com exceo do $Boot, que sempre alocado na primeira cluster Se o tamanho do volume no mltiplo do tamanho da cluster, alguns setores no final do disco no ser parte de uma cluster

NTFS
$Bitmap Especifica o status de alocao da cluster Este arquivo tem o atributo $DATA que tem 01 bit para cada cluster no sistema de arquivos Bit 0 corresponde a cluster 0 Bit 1 corresponde a cluster 1 se o bit setado para 1 = cluster alocada se o bit setado para 0 = cluster no alocada $BadClus Controle de cluster com erro (damaged clusters) $DATA attribute utilizado para alocao de cluster com erro/problema Windows adiciona clusters com problema ao atributo $DATA ($Bad)

NTFS
LAYOUT DO SISTEMA DE ARQUIVOS Sistema de arquivos NTFS podem ter requerimentos de layout diferentes, mas h caractersticas gerais Windows cria a MFT tanto menor quanto possvel e expande quando mais entradas so necessrias reservado parte do sistema de arquivos para a MFT MFT Zone uma coleo de clusters consecutivas que no so utilizadas para armazenar contedo de arquivos ou diretrios, a menos que o resto do disco esteja cheio. Por default, Microsoft aloca 12,5% do sistema de arquivos para a MFT Se o resto do arquivo est cheio, a MFT Zone ser usada Todas as verses de NTFS alocam as primeiras clusters para o arquivo $Boot

TCNICAS DE ANLISE Localizar uma especfica cluster Determinar o statusde alocao Processar seu contedo Dada uma especfica cluster: Primeira cluster o incio do sistema de arquivos Tamanho da cluster dado no primeiro setor Status da alocao da cluster determinado no arquivo $Bitmap Tcnica importante extrair UNALLOCATED SPACE do sistema de arquivos Examina-se o arquivo $Bitmap Extrai-se o contedo de cada cluster com bit 0 Pode haver evidncia relevante em setores depois da alocao do sistema de arquivos e antes do final do volume Clusters marcadas como Bad Cluster devem ser analisada, Discos podem marcar Bad Sectors

NTFS

Referncias Bibliogrficas
Sites de Referncia 22 http://www.cert.br/ - CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil 23 http://www.securityfocus.com - SecurityFocus 24 http://www.sans.org - SANS Institute 25 http://isc.incidents.org/ - Internet Storm Center 26 http://www.gocsi.com - Computer Security Institute 27 http://www.guidance.com/support/downloads.shtm - GUIDANCE SOFTWARE