Académique Documents
Professionnel Documents
Culture Documents
org
http://www.acmesecurity.org
Roteiro
Introduo.
Metodologia para forense.
http://www.acmesecurity.org
Introduo
Cincia Forense:
A aplicao de princpios das cincias fsicas ao direito na busca da
verdade em questes cveis, criminais e de comportamento social para
que no se cometam injustias contra qualquer membro da sociedade
[1].
Forense computacional:
O uso de mtodos cientficos para preservao, coleta, restaurao,
identificao, documentao e apresentao de evidncias digitais [2].
http://www.acmesecurity.org
Evidncia digital
Evidncias digitais so informaes em formato digital
capazes de determinar se um sistema computacional sofreu
uma violao, ou que provem uma ligao com a vtima ou
com o atacante.
Evidncias desta natureza podem ser duplicadas com exatido.
possvel verificar se sofreram alteraes com os mtodos adequados.
So altamente volteis, podendo ser alteradas durante a anlise, caso as
devidas precaues no sejam tomadas.
http://www.acmesecurity.org
Forense Computacional
Exames forenses tradicionais, como o exame de DNA, so
realizados atravs de mtodos e procedimentos bem definidos.
A anlise efetuada atravs de passos rotineiros, repetidos em cada
caso.
Heterogeneidade de softwares.
Heterogeneidade de hardwares.
Uso de padres distintos.
Constantes mudanas na tecnologia.
http://www.acmesecurity.org
Mtodos e procedimentos
Simplificam o processo de coleta, armazenamento e anlise de
evidncias.
Minimizam o pnico e reaes negativas em circunstncias em
que a percia conduzida sobre nveis elevados de estresse,
evitando um possvel comprometimento das evidncias.
Contribuem para validar as evidncias coletadas em um
processo criminal.
Necessitam de uma fase de planejamento para sua correta
aplicao.
http://www.acmesecurity.org
Resposta a Incidentes
Metodologia de resposta em 6 passos (SANS Institute):
Preparao: envolve o planejamento e definies de polticas para lidar
com o incidente quando detectado.
Identificao: caracterizao da ameaa e seus efeitos nos sistemas
afetados.
Conteno: consiste em limitar o efeito do incidente de modo que atinja
o menor nmero de sistemas possveis.
Erradicao: estgio no qual as conseqncias causadas pelo incidente
so eliminadas ou reduzidas.
Recuperao: retomada das atividades em andamento antes do
incidente ocorrer. Tambm restaurao de dados caso necessrio.
Continuao: medidas necessrias para evitar que a ocorrncia do
incidente seja repetida.
2005 ACME! Computer Security Research
http://www.acmesecurity.org
http://www.acmesecurity.org
Preparao (1)
Definies de polticas a serem seguidas e aes a serem
tomadas durante a percia.
Medidas preventivas para evitar o comprometimento do
sistema computacional.
Monitoramento para detectar incidentes quando ocorrerem.
Escolha das ferramentas mais adequadas para coleta e anlise
de evidncias.
http://www.acmesecurity.org
Preparao (2)
Os mecanismos de rede podem fornecer informaes valiosas
para anlise quando corretamente configurados.
Firewalls/Sniffers/Detectores de Intruso.
Roteadores e gateways em geral.
Servidores de DNS e Proxy.
Servidores de backups.
Coletores de fluxos.
10
http://www.acmesecurity.org
Coleta (1)
A coleta de evidncias feita principalmente com base nos
dados obtidos a partir dos discos rgidos e das demais mdias
fsicas.
Caso o sistema ainda esteja em funcionamento, pode-se
recuperar evidncias adicionais.
recomendvel interromper a energia ao invs de desligar o sistema de
modo habitual.
Permite preservar o estado do sistema (swap, arquivos temporrios, marcas
de tempo nos arquivos, ...).
Pode evitar armadilhas programadas para disparar durante o desligamento
do sistema.
11
http://www.acmesecurity.org
Coleta Online
Examinar uma parte do sistema ir perturbar outras partes:
O simples fato de observar informaes de determinados tipos capaz
de alter-las.
As informaes devem ser preferencialmente coletadas de acordo com
seu tempo de vida.
Tempo de
vida
Registradores, cache
Memria dos perifricos (ex. vdeo)
Memria RAM
Trfego de rede
Estado do sistema Operacional (processos,
usurios logados, conexes estabelecidas, ...)
Disco Rgido
Mdias secundria (cd-roms, backups)
2005 ACME! Computer Security Research
Volatilidade
12
http://www.acmesecurity.org
Dispositivos de armazenamento
Registradores e cache.
Contm pouca informao aproveitvel.
Memria de perifricos.
Podem possuir informaes no disponveis na memria principal
como documentos enviados via fax, imagens exibidas no monitor, etc.
Memria RAM.
Contm informaes sobre o sistema operacional e os processos em
execuo. Pode conter senhas e informaes em texto plano que esto
cifradas no disco.
13
http://www.acmesecurity.org
Alteraes no sistema
As informaes obtidas podem no ser confiveis uma vez que
o sistema foi comprometido.
Como forma de minimizar o problema, alguns kits de forense para
ambientes UNIX contm binrios compilados estaticamente dos
principais utilitrios de sistema.
Alvos de modificao:
Shell
Comandos do sistema
Bibliotecas dinmicas
Drivers de dispositivos
Dificuldade
de deteco
Kernel
14
http://www.acmesecurity.org
Anlise
A anlise deve ser efetuada sobre uma cpia das mdias originais. As
mdias originais devem ser devidamente protegidas.
A cpia deve ser bit a bit com o intuito de preservar arquivos removidos e
outras informaes.
15
http://www.acmesecurity.org
Reconstruo de eventos
Correlacionamento de logs.
Anlise do trfego da rede (logs de roteadores, firewalls, ...).
Histrico do shell (quando houver).
MAC Times.
Recuperao de arquivos apagados ou anlise do dump do
disco.
Anlise de artefatos encontrados no sistema.
16
http://www.acmesecurity.org
Identificao do alvo.
Busca por vulnerabilidades.
Comprometimento inicial.
Aumento de privilgio.
Tornar-se "invisvel".
Reconhecimento do sistema.
Instalao de backdoors.
Limpeza de rastros.
Retorno por um backdoor; inventrio e comprometimento de mquinas
vizinhas.
2005 ACME! Computer Security Research
17
http://www.acmesecurity.org
Centralizando logs.
syslog-ng (http://www.balabit.hu/en/downloads/syslog-ng).
Identificao de rootkits.
chkrootkit (http://www.chkrootkit.org).
Registro de conexes.
TCPwrapper.
18
http://www.acmesecurity.org
19
http://www.acmesecurity.org
Estado da rede
Configuraes da rede:
ifconfig, iwconfig
route
arp
netstat -tupan, lsof -i
Coletando o trfego:
tcpdump -l -n -e -x -vv -s 1500
ethereal
20
http://www.acmesecurity.org
Processos:
Processos atualmente em execuo: ps auxeww, ps ealf, ls /proc/
ltimos comandos executados: lastcomm
Arquivos abertos: lsof
Kernel e mdulos:
Configuraes gerais: uname -a
Mdulos carregados: lsmod, cat /proc/modules
Mdulos ocultos: kstat -M (http://www.s0ftpj.org/tools/)
21
http://www.acmesecurity.org
Propriedades de um arquivo:
stat <arquivo>
22
http://www.acmesecurity.org
23
http://www.acmesecurity.org
TCTUtils (http://www.porcupine.org/forensics/tct.html):
Utilitrios que provem funcionalidades extras ao TCP.
24
http://www.acmesecurity.org
mactime
Utiliza informaes produzidas pelo grave-robber para criar um histrico
de arquivos modificados e acessados em um dado intervalo de tempo.
lazarus
lazarus: ferramenta para recuperao de arquivos apagados.
unrm: efetua dump do espao no alocado no disco.
Utilitrios
Utilirios usados pela ferramenta grave-roober.
2005 ACME! Computer Security Research
25
http://www.acmesecurity.org
Exemplos de utilitrios:
pcat: efetua o dump de um processo na memria.
icat (ou inode-cat): visualiza o contedo de um arquivo a partir no
nmero do seu inode. Pode recuperar arquivos apagados ou parte deles.
ils: lista informaes inodes de arquivos removidos.
2005 ACME! Computer Security Research
26
http://www.acmesecurity.org
TCTUtils
Exemplos de utitrios:
bcat: exibe o contedo de um bloco de dados presente no sistema de
arquivos.
blockcalc: mapeia blocos do sistema de arquivos orginal com a imagem
gerada pela ferramenta unrm.
fls: lista as entradas de um bloco de dados pertencente a um diretrio.
find_file: tenta encontrar o nome de arquivo associado a um inode.
find_inode: tenta encontrar o inode que tem alocado um determinado
bloco de dados do sistema de arquivos.
istat: exibe informaes sobre um determinado inode.
27
http://www.acmesecurity.org
28
http://www.acmesecurity.org
29
http://www.acmesecurity.org
30
http://www.acmesecurity.org
31
http://www.acmesecurity.org
Concluses
A Forense computacional um importante ramo da cincia
forense aplicado coleta de evidncias digitais.
O uso de mtodos e procedimentos adequados aumentam a
eficincia da coleta, anlise e armazenamento de evidncias.
As informaes mais volteis devem ser coletadas primeiro,
sendo que no possvel coletar todas as informaes
presentes em um sistema.
O sistema operacional fornece diversos mecanismos de
contabilidade que podem ser utilizados no processo de coleta
de evidncias.
O domnio de ferramentas especficas para forense
computacional permite a obteno de melhores resultados
durante a coleta e anlise.
2005 ACME! Computer Security Research
32
http://www.acmesecurity.org
Referncias
Dan Farmer, Wietse Venema. Computer Forensics Analysis Class Handouts. Agosto,
1999.
http://www.trouble.org/forensics/class.html
33
http://www.acmesecurity.org
Obrigado!
Para entrar em contato e obter mais informaes:
almir at acmesecurity dot org Key ID: 0x77F86990
arnaldo at acmesecurity dot org Key ID: 0x85A6CA01
adriano at acmesecurity dot org Key ID: 0x3893CD28
Agradecimentos a Cesar Eduardo Atlio
Pelo material cedido para a produo deste trabalho
http://www.acmesecurity.org
ACME! Computer Security Research Labs
UNESP IBILCE
So Jos do Rio Preto - Brasil
34