Forense computacional emLinuxfor dummies

umarpidaviso introdutria
Caruaru,PE,26denovembrode2011

JooEribertoMotaFilho

Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Oqueforensecomputacional?
Forensecomputacionalacinciavoltadaparaa obteno,preservaoedocumentaodeevidn cias,apartirdedispositivosdearmazenagemele trnicadigital,comocomputadores,pagers,PDAs, cmerasdigitais,telefonescelularesevriosoutros dispositivosdearmazenamentoemmemria.Tudo deverserfeitoparapreservarovalorcomproba triodasevidnciaseparaassegurarqueistopossa serutilizadoemprocedimentoslegais.
(An introduction to Computer Forensics, Information Security and Forensics Society, abr. 04, disponvel em http://www.isfs.org.hk/publications/public.htm)

Eribertonov.11

Oqueforensecomputacional?
Ento... Aforensecomputacionalbusca,emdispositivosde armazenamento,evidnciasdeaesincompatveis, danosasoucriminosas. Taisaespodemserlocaisouremotas(viarede). Geralmente,ascitadasaesestorelacionadasaroubode informaes,fraudes,pedofilia,defacements,intrusese crimescibernticosemgeral. Ovocbulo"forense"estligadoa"investigao".
Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Ataquesviarede:oquefazer?
Emumrazovelnmerodevezes,forensessoconduzidas emvirtudedeataquesremotos(viarede). Apsumataqueremoto:
>Desconecte,imediatamente,ocaboderede(anoserque hajaalgummotivoparanofazerisso). >NUNCAdesligueamquina(considerandoqueoatacanteno otenhafeitoremotamente). >Notoquenamquina(nemmesmofaalogin). >Chame,imediatamente,umperitopararealizarapercia. >Acompanhe,sepossvel,todootrabalhodoperito.

Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Medidasiniciaisnasforenses
Aotomaroprimeirocontatocomamquinaatacada,casoa mesmaaindaestejaligada,operitodever: InserirumpendriveouHDexternomaiordoquea quantidadedeRAMdamquinaparacolherdados. LogarcomorootemontarodispositivoUSB(/mnt?). Gravarnodispositivoexternoosseguintesdados:
>Umdumpdememria,comddoudcflddeoLKMfmem(esta temqueseraprimeiraaousarfmem,doprojetoForiana). >Usurioslogados,com#w>/mnt/w. >Ohistricodecomandos,com#history>/mnt/history. >Asituaodememria,com#freem>/mnt/free. continua... Eribertonov.11

Medidasiniciaisnasforenses
continuando... >Otempodevidadamquina,com#uptime>/mnt/uptime. >Osprocessosativos,com#psaux>/mnt/ps. >Ospossveisprocessosocultos,com#unhide[proc/sys/brute] >/mnt/unhide.[proc/sys/brute]. >Asconexeseportasabertas,com#netstattunap> /mnt/netstat. >AspossveisportasTCP/UDPocultas,com#unhidetcp> /mnt/unhide.tcp. >Arelaodepacotesinstalados.NoDebianederivados,pode seusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHat hocomando#rpmqa>/mnt/pacotes. continua... Eribertonov.11

Medidasiniciaisnasforenses
continuando... >Dataehoradamquina,com#date>/mnt/date.Anotea horadoseurelgionestemomento,paraumacomparao futura.Adefasagemencontradadeverconstarnolaudo. >Utilizaodediscos,com#dfhT>/mnt/df >Osdetalhessobredispositivosmontados,com#mount> /mnt/mount. >Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk. >Aversodekernelutilizada,com#unamea>/mnt/uname. >Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig. >Asrotasderede,com#routen>/mnt/route. continua... Eribertonov.11

Medidasiniciaisnasforenses
continuando... >Osmdulosdekernelcarregados,com#lsmod> /mnt/lsmod. >Porfim,colherdoishashesdiferentes(umdelesSHA2)da memriaedetodososarquivosgerados.

Desmontareremoverodispositivoexterno(pendriveou HDexterno). Verificar,emoutramquina,serealmentefoigravadotodo ocontedonecessrionodispositivoexterno. Desligaramquinasempermitirqueamesmagravedados nodisco.Paraisso,puxeocabodeenergiadatomadasem desligaramquinadeformaconvencional.

Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Criaodaimagemdamdiaatacada
Todootrabalhodeforensedeverserrealizadoemuma cpiadamdiaatacada(imagem). Paracriaraimagem: AdicionarumHDdecapacidademaiordoqueoda mquinaatacada. InicializaramquinaatacadacomumliveCDvoltadopara forenseoupendrivecomLinux.CUIDADO!LiveCDsno apropriadosusamreasdeswapencontradasnodiscoe montammdiasautomaticamente. MontarapenasapartiodoHDadicional(aqueir receberasimagens). CriarumaimagemdoHDcomprometido,porinteiro,no novoHD.
Eribertonov.11

Criaodaimagemdamdiaatacada
ApsacriaodaimagemdoHD,calculardoishashesde talimagem(pelomenosumdelesdeverserSHA2). Todooprocessodeaberturafsicadamquina comprometida,criaodaimagemeclculodoshashes deverseracompanhadoporduastestemunhas. Aofinaldaoperao,deversergeradoumcertificadode integridade,contendoadata,onomeeoCPFdoperito,das testemunhas,onmerodesriedoHDeoshashesobtidos (especialmenteHDememria).Todosdeveroassinaro certificado,queserumdosanexosaolaudopericial. OHDoriginaldeverserlacradonapresenadetodose entregueparaautoridadecompetente.Onmerodoslacres deverconstarnolaudo(ounocertificadodeintegridade).
Eribertonov.11

Criaodaimagemdamdiaatacada
Mdiasdanificadas(HD,pendrive,CDROM)poderotero seucontedoparcialcopiadocomocomandodd_rescue. Issoirgerarumfragmentoauditvelcomferramentas especiais. muitoimportantepreservaraomximoaimagem original.Trabalhetodootempoemumacpiadamesma.

Eribertonov.11

Criaodaimagemdamdiaatacada
Exemplodecriaodeimagens: HDcomprometido:/dev/sda. 2HD:possuiumanicapartio,a/dev/sdb1. Criaodasimagens(/dev/sdb1montadoem/mnt):
#ddif=/dev/sdaof=/mnt/sda.dd

Odcflddumaexcelentealternativaaodd. Dentreoutraspossibilidades,odcflddexibeoandamento daoperaoecalculahashesemtemporeal.Exemplo:

#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256 md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256

Eribertonov.11

Criaodaimagemdamdiaatacada
Comparativo(usandocomobaseumpendrivede2GBem umnetbookAtom):
*dd+md5sum+sha256sum=7min23seg(sodd:5'03''). *dcfldd,calculandooshashes=5min04seg.

Exemplodesadaemtela:

Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Utilizaodaimagemdamdiaatacada
Osarquivosdeimagenspoderoseranalisadosdiretamente (examedesuperfcie).Htambmaopopelamontagem decadaumadaspartiesexistentesnaimagem. Aspartiesdasimagensdeverosermontadascomoloop (porserarquivo)ereadonly(paranoalterarocontedo). Exemplo:
#mountoloop,ro,offset=32256sda.dd/forense

Arquivosdeswapsoextensodamemriaenopossuem filesystem.Ento,seroanalisadossemmontagem(no possvelmontlos).

Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Oquebuscarnaanlise
Inicieaforenseouvindoosfatosparatentardeduziralgo relevantequeleveseleodeumpontoinicial.Exemplo: emdefacements,comearpelaanlisedo/var/www. Adoteumdosmtodosdeperciaparainiciarostrabalhos (linhadotempooudescubraoquepuder). Analiselogs,memriaeswap. Analisediretriosimportantescomo/tmp,/var/tmp, /homee/etc. Busqueporrootkitsebackdoors. Verifiqueseosistemaoperacionalestavaatualizado. Busquesenhasearquivosdentrodaimagemdamemria.
Eribertonov.11

Oquebuscarnaanlise
Procure,emimagensdediscos,porarquivosrelevantes apagados,combaseempalavraschave. ArquivosdeMSOfficeeBrOffice.Orgsuspeitosdevemser analisadosprofundamente.Comecepelaspropriedadesdos mesmos.TambmvlidoparaPDFs. FigurasJPGpossuemdadosEXIF.Issoimportante!Analise tambmaspropriedadesdequalquerfigura. Figuraspodemconteresteganografia.Arquivospodemestar criptografados.Vocpoderdescobrirsenhaspor engenhariasocialouanlisedememria! Sejainteligente,criativoeperseverante.Tenhaavontade devenceroseuoponente!
Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Algunscomandoseferramentas
Instaleosleuthkit(noDebian,#aptgetinstallsleuthkit; paravercomandos:#dpkgLsleuthkit|grep/usr/bin). Useeabusede#lslua,#lsltae#stat<arquivo>. Garimpeimagensearquivoscomstrings+grep.O comandostrings,noDebian,estnopacotebinutils. Procureporrootkitscomchkrootkiterkhunter.Exemplos:
#chkrootkitr/forense #rkhunterupdate;rkhuntercr/forense

Procureporwormscomoclamscan(#aptgetinstall clamav).Exemplo:
#freshclam;clamscanr/forense Eribertonov.11

Algunscomandoseferramentas
Utilizeocomandofindparaprocurarporarquivoscriados oumodificadosnosltimosxdias.Exemplopara2dias:
#find/forense/mtime2

Utilizefls+icatpararecuperararquivosapagadosem filesystems.Exemplo:
#flsFdro63sda.img #icato63sda.img75>teste.jpg

Utilizeoscomandosmagicrescueeforemostparabuscar arquivosemimagensdemdiasformatadas,corrompidas ouemfragmentosdeimagens.Comaopoa,oforemost recuperaarquivosdanificados(egeramuitosfalsos positivos).AopomaiscomumTq.

Eribertonov.11

Algunscomandoseferramentas
Utilizehexdumpehexeditparaacessarcontedos, exibindoosemhexadecimal(mesmoemfragmentos).Para ASCIIpuro,utilizeomcview. Utilizeosprogramasgwenview,pornviewegimpparaabrir imagens,inclusivedanificadas. Paraverdadosexif,utilizemetacam. Utilizeocomandofileparavercaractersticasdeimagens dedispositivos,fotos,documentosdoofficeeexecutveis. okular(KDE)eevince(Gnome)podemserutilizadospara vercontedosdiversos. SempreapliqueocomandostringsemfotosePDFs.

Eribertonov.11

Algunscomandoseferramentas
Utilizeooofficeparaabrireinvestigardocumentosdotipo office. Estudemuito!!!(aptcachesearchforensic). DEMONSTRAO.

Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Laudodapercia
Nohummodeloespecficoparalaudoourelatriode forense.difcilencontrarummodelonaInternet. Algunsdadosinteressantesparaacomposiodolaudo:
>Dadospessoaisdoperito. >Perododarealizaodaforense. >Breverelatodoocorrido(notciasiniciais). >Dadosgeraissobreamquinae/ousistemaatacado(nomeda mquina,portasabertas,partiesexistentesetc). >Detalhamentodosprocedimentosrealizados. >Dadosefatosrelevantesencontrados. >Conclusoerecomendaes. >Apndiceseanexos.(incluircertificadodeintegridade) Eribertonov.11

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertonov.11

Concluso
Aperciaforensebuscaencontrardadosrelevantes,em meiosdearmazenagemdigital,comointuitodelevantar provassobreumfato(geralmenteumcrimedigital). Umperitoforensedeveconhecerprofundamenteosistema operacionalqueeleirinvestigar.Casonooconhea, podersolicitarumauxiliartcnico. Aastciaeacriatividadesoessenciaisemqualquer investigao.Tenhaavontadedevenceroseuoponente.

Estapalestraestdisponvelem http://www.eriberto.pro.br/forense
Sigameemhttp://twitter.com/eribertomota

Eribertonov.11