Forense Computacional: fundamentos, tecnologias e desafios atuais

Transcrição

1 Forense Computacional: fundamentos, tecnologias e desafios atuais Evandro Della Vecchia Pereira, Leonardo Lemes Fagundes, Paulo Neukamp, Glauco Ludwig, Marlom Konrath Universidade do Vale do Rio dos Sinos (UNISINOS) evandrodvp@unisinos.br SBSeg 2007

2 Autores Mestre em Ciência da Computação pela UFRGS, Bacharel em Ciência da Computação pela PUCRS. Atualmente é perito criminal do Estado do Rio Grande do Sul (SSP/IGP Instituto Geral de Perícias) e professor da Graduação Tecnológica em Segurança da UNISINOS. Contato: evandrodvp@unisinos.br Mestre em Computação Aplicada e Bacharel em Informática - Hab. Análise de Sistemas pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente é coordenador executivo e professor da Graduação Tecnológica em Segurança da UNISINOS. Contato: llemes@unisinos.br Tecnólogo em Segurança da informação Graduado na Universidade do Vale do Rio dos Sinos UNISINOS. Criador e mantenedor da distribuição FDTK- UbuntuBr (Forense Digital ToolKit), Analista de suporte em uma multinacional química em Novo Hamburgo - RS. Contato: pneukamp@gmail.com Mestre em Computação Aplicada e Especialista em Redes de Computadores pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente é professor da Graduação Tecnológica em Segurança, Desenvolvimento de Jogos e Engenharia da Computação desta instituição. Contato: glaucol@unisinos.br Mestre em Computação Aplicada e Bacharel em Informática (Análise de Sistemas) pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente trabalha em uma empresa de desenvolvimento de software em São Paulo. Possui interesse nas áreas: Peer-to-Peer, Redes e Segurança. Contato: marlomk@unisinos.br 2

3 Roteiro Introdução Códigos maliciosos (malware) Forense computacional Técnicas forenses Exame dos dados Ferramentas forenses Estudos de caso Desafios atuais em forense computacional Considerações finais 3

4 Introdução Cyber crime: são utilizados dispositivos eletrônicos, computadores e Internet Mais difícil de ser investigado devido à possibilidade de anonimato As evidências podem estar distribuídas em diversos servidores Segundo estatísticas, em 2006, aproximadamente U$ ,00 foram perdidos em fraudes eletrônicas Ex.: Nigerian Letter Fraud Cerca de 76% dos casos reportados tiveram o como meio de comunicação com a vítima 4

5 Introdução Ocorrências mais comuns: Calúnia, difamação e injúria via Roubo de informações confidenciais Remoção de arquivos Outros crimes: Pedofilia Fraudes Tráfico de drogas via Internet 5

6 Introdução Investigações começam a depender de conhecimento técnico para desvendar crimes cibernéticos forense computacional Forense Computacional pode ser definida como a inspeção científica e sistemática em ambientes computacionais, com a finalidade de angariar evidências derivadas de fontes digitais para que seja possível promover a reconstituição dos eventos encontrados (podendo assim, determinar se o ambiente em análise foi utilizado na realização de atividades ilegais ou não autorizadas) 6

7 Códigos maliciosos (Malware) Conjunto de instruções executadas em um computador e que fazem o sistema realizar algo que um atacante deseja Cada malware é classificado em uma ou mais categorias, de acordo com ações que este realiza Geralmente conhecidos como vírus ou trojans (cavalos de tróia), mas existem outras categorias: Backdoors Spywares Worms Keyloggers Rootkits Bots 7

8 Códigos maliciosos - Vírus Possuem a capacidade de se auto-replicarem Um vírus é considerado uma função computável que infecta qualquer programa. Um programa infectado pode realizar três ações, disparadas conforme as entradas: Ser executado para propagar a infecção Danificar o sistema Se faz passar por algum programa Uma das características de um vírus: necessidade de anexar-se a um arquivo hospedeiro Arquivo executável Setor de inicialização Documento que suporte macros 8

9 Códigos maliciosos - Vírus Propagação de vírus: Mídias removíveis s Downloads Diretórios compartilhados Os vírus possuem diferentes classificações, de acordo com autores de publicações Vírus acompanhantes : não infectam arquivos executáveis, mas utilizam o mesmo nome, com extensão diferente (aquela que tem prioridade) Ex.: Se o usuário clicar em Iniciar Executar, e digitar notepad, será executado um arquivo com nome notepad e com qual extensão? 9

10 Códigos maliciosos - Vírus 10

11 Códigos maliciosos - Vírus Nos vírus que infectam um arquivo executável, modificando seu código, a infecção pode ser feita: No início do arquivo. Ex.: Nimda No fim do arquivo (mais utilizado). Ex.: Natas Alguns vírus podem se instalar nos primeiros setores lidos durante a inicialização de um S.O. (vírus de boot) Ex.: Michelangelo Vírus de macro são executados em softwares que têm a capacidade de interpretar código presente dentro dos arquivos de dados Microsoft Word, ex.: Melissa 11

12 Códigos maliciosos - Vírus Vírus simples: não fazem nada muito significativo além de replicarse, podendo consumir toda memória. Ex.: Jerusalem. Vírus com auto-reconhecimento: detectam um sistema já infectado através de alguma assinatura, não gerando duplicidade de infecção. Ex.: Lehigh. Vírus invisíveis: interceptam chamadas de sistemas para tentar esconder a sua presença. Ex.: Tequila, Frodo. Vírus com arsenal: empregam técnicas para dificultar a análise de seu código e podem atacar antivírus presentes no sistema. Ex.: Whale, Samara Vírus polimórficos: infectam novos alvos com versões modificadas ou criptografadas de si mesmo. Ex.: V2P6, Nuah. 12

13 Códigos maliciosos - Backdoor Software que permite uma entrada pela porta dos fundos Habilita um atacante a furar os controles normais de segurança de um sistema, ganhando acesso ao mesmo através de um caminho alternativo Normalmente opera sobre Telnet, rlogin ou SSH Tipicamente fornece uma das seguintes funcionalidades ao atacante: Aumento dos privilégios locais Acesso remoto e execução de comandos Controle remoto da interface gráfica 13

14 Códigos maliciosos - Backdoor Netcat ( canivete suiço ): pode ser utilizado como um backdoor Pode executar praticamente qualquer comando em uma máquina e desvia a entrada/saída padrão para uma conexão de rede Pode-se programar para escutar em uma porta UDP ou TCP (máquina alvo) Exemplo: -l = listening, -p = porta, -e = comando, -vv = modo detalhado de visualização 14

15 Códigos maliciosos - Backdoor Virtual Network Computing (VNC): utilizado comumente para administração remota 15

16 Códigos maliciosos Cavalo de Tróia Comumente chamado de trojan (trojan horse) É um programa que se mascara ou aparenta possuir um propósito benigno, mas que arbitrariamente realiza ações maliciosas Normalmente não é capaz de replicar-se automaticamente As ações de um cavalo de tróia podem variar, mas geralmente instalam backdoors Para não ser descoberto, é comum que cavalos de tróia tentem disfarçar-se de programas legítimos 16

17 Códigos maliciosos Cavalo de Tróia 17

18 Códigos maliciosos Cavalo de Tróia Outra prática comum é um programa cavalo de tróia ser combinado com um programa executável normal em um único executável Programas que juntam dois ou mais executáveis são chamados de wrappers, ex.: File Joiner 18

19 Códigos maliciosos Spyware Software que auxilia a coleta de informações sobre uma pessoa ou organização sem o seu conhecimento Pode enviar informações a alguém sem o consentimento do proprietário Pode tomar o controle do computador sem que o usuário saiba Pesquisa conduzida pela Dell (set/2004) Aproximadamente 90% dos PCs com Windows possuíam no mínimo um spyware Este tipo de software foi responsável por metade das falhas em ambientes Windows reportados por usuários da Microsoft 19

20 Códigos maliciosos Spyware Advertising displays: códigos que mostram anúncios de vários tipos no PC do usuário; Automatic download software: instalam outros softwares sem o conhecimento e consentimento do usuário; Autonomous spyware: programas que são executados fora de um navegador Web, normalmente sendo executados na inicialização e permanecendo indetectáveis pelo usuário; Tracking software: programas que monitoram os hábitos de um usuário ou os dados fornecidos por ele em páginas web e enviam estas informações pela Internet para algum servidor remoto; 20

21 Códigos maliciosos Spyware 21

22 Códigos maliciosos Spyware Anti-spywares mais conhecidos: Spybot Search and Destroy Ad-Aware Pest Patrol Microsoft Windows Defender Recentemente os softwares de antivírus começaram também a detectar e remover este tipo de código malicioso 22

23 Códigos maliciosos Worm Caracterizados como programas que se auto-propagam por meio de uma rede de computadores explorando vulnerabilidades em serviços usados em larga escala Não necessita de intervenção humana para se disseminar Considerados uma das maiores ameaças virtuais No Brasil chega a atingir 65% dos incidentes de segurança (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) - período de Janeiro a Março de 2007) Um worm pode ter as mais diversas finalidades: espalhar-se consumindo largura de banda causar ataques de negação de serviço apagar arquivos enviar arquivos por instalar outros malwares como keyloggers, rootkits e backdoors 23

24 Códigos maliciosos Worm Exemplo: Code red 1. O worm tenta conectar-se na porta TCP 80 de máquinas selecionadas aleatoriamente. No caso de obter conexão, o atacante envia uma requisição HTTP GET para o alvo. A presença da seguinte string em um log de um servidor web pode indicar o comprometimento do servidor por parte do Code Red: /default.ida?nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u 6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090 %u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00 =a 24

25 Códigos maliciosos Worm 2. Uma vez executado, o worm faz uma busca pelo arquivo c:\notworm. Caso esse arquivo seja encontrado, a execução do Code Red é cancelada. Caso contrário, o worm gera 100 threads; 3. Se a data do sistema invadido for anterior ao dia 20 do mês, 99 threads são usadas para a tentativa de invadir mais sistemas; 4. A centésima thread é responsável por modificar a página principal do servidor Web (caso a linguagem padrão do sistema seja o inglês), a qual passará a exibir a mensagem: HELLO! Welcome to Hacked by Chinese!. Essas alterações são realizadas sem modificar o arquivo da página no disco físico, mas sim, na memória; 5. Caso a data do sistema for entre os dias 20 e 28, o worm tenta então disparar um ataque de negação de serviço ao domínio 6. Caso a data seja superior ao dia 28, a execução do worm écancelada. 25

26 Códigos maliciosos Keyloggers Tipo de spyware cuja finalidade é capturar tudo o que for digitado em um determinado computador As intenções no uso de um keylogger podem ser as mais diversas: monitorar as atividades dos funcionários de uma determinada empresa capturar conversas em programas de mensagens instantâneas capturar informações e senhas bancárias As informações obtidas podem então ser enviadas pela Internet para: o gerente da empresa (com ou sem consentimento do funcionário) um atacante (sem o consentimento do usuário) 26

27 Códigos maliciosos Keyloggers Hardware keylogger: trata-se de um dispositivo físico posicionado entre o teclado e o computador da vítima 27

28 Códigos maliciosos Keyloggers Sofware keylogger usando um mecanismo de hooking: um hook trata-se de uma rotina que tem como objetivo ficar no meio do caminho do tratamento normal da execução de informações do S.O. Kernel keylogger: trabalha no nível do kernel e usa suas próprias rotinas para receber os dados diretamente dos dispositivos de entrada (no caso, o teclado). método mais difícil de ser desenvolvido, por exigir um elevado conhecimento de programação Mais difícil de ser detectado (substitui as rotinas padrão do S.O. e é inicializado como parte do próprio sistema) Não são capazes de capturar informações que são trocadas diretamente no nível de aplicações (ex: operações de copiar e colar e operações de autocompletar) Exs.: THC vlogger, ttyrpld 28

29 Códigos maliciosos Keyloggers Um dos mais conhecidos: BPK (Blazing Perfect Keylogger) Baseado em hooking Processo de instalação simples Interface amigável Preço acessível: U$ 34,95 Versão de avaliação disponível Pode ser executado em modo background e ficar invisível ao gerenciador de tarefas do Windows! Nos últimos anos foi desenvolvido também o conceito de screenlogger Obtém uma cópia (screenshot) da tela do computador da vítima assim que um clicar do mouse for efetuado. Alguns keyloggers possibilitam a captura de tela a cada período de tempo, formando um filme (videologger) 29

30 Códigos maliciosos Keyloggers 30

31 Códigos maliciosos Keyloggers 31

32 Códigos maliciosos Rootkits Conjunto de programas usado por um atacante para que o mesmo consiga ocultar sua presença em um determinado sistema e, ainda, para permitir acesso futuro a esse sistema Rootkits tradicionais: caracterizados por versões modificadas de comandos do sistema, como ls, ps, ifconfig e netstat. Esses comandos passaram a ser programados para ocultarem do administrador do sistema os processos, os arquivos e as conexões utilizadas pelo atacante. Ex.: ifconfig substituído por uma versão maliciosa que oculta o fato de uma determinada interface de rede estar sendo executada em modo promíscuo 32

33 Códigos maliciosos Rootkits Rootkits baseados em LKM (Loadable Kernel Modules): funcionam alterando as chamadas do sistema. Normalmente altera as chamadas do sistema que permitem listar os módulos de kernel instalados. O processo de detecção desses malwares é muito mais difícil, pois os comandos do sistema continuam inalterados e o próprio kernel responderá às requisições. 33

34 Códigos maliciosos Bots Há três atributos que caracterizam um bot (nome derivado de Robot): Existência de um controle remoto Implementação de vários comando Mecanismo de espalhamento, que permite ao bot espalhar-se ainda mais. Tipicamente um bot conecta-se a uma rede IRC (Internet Relay Chat) e fica esperando por comandos em um canal específico Ao identificar seu mestre, o bot irá realizar o que lhe for ordenado através de comandos. Ataques de negação de serviço Spam... 34

35 Forense Computacional - Introdução Objetivo: a partir de métodos científicos e sistemáticos, reconstruir as ações executadas nos diversos ativos de tecnologia utilizados em cyber crimes. A forense aplicada à tecnologia é muito recente, porém a ciência forense como um todo existe há muito tempo. Historiador romano Virtrúvio relata que Arquimedes foi chamado pelo rei Hieron para atestar que a coroa encomendada junto a um artesão local não era composta pela quantidade de ouro combinada previamente entre as partes (teoria do peso específico dos corpos). No século VII já eram utilizadas impressões digitais para determinar as identidades dos devedores. As impressões digitais dos cidadãos eram anexadas às contas que ficavam em poder dos credores. 35

36 Forense Computacional - Introdução Século XX: evolução da ciência forense Pesquisas que conduziram à identificação do tipo sanguíneo e a análise e interpretação do DNA; Publicação dos principais estudos referentes à aplicação de métodos e técnicas utilizadas na investigação de crimes; Criado o The Federal Bureau of Investigation (FBI) uma referência no que tange à investigação de crimes e a utilização de técnicas forenses em diversas áreas. 36

37 Forense Computacional - Introdução Atualmente, existem peritos especializados em diversas áreas: Análise de documentos (documentoscopia); Balística; Criminalística; Genética; Odontologia; Química; Computação (Forense Computacional? Forense Digital?) 37

38 Forense Computacional Processo de investigação Relembrando...a forense computacional é empregada: para fins legais (ex.: investigar casos de espionagem industrial); em ações disciplinares internas (ex.: uso indevido de recursos da instituição); O intuito é obter evidências relacionadas à realização dos eventos. Evidências: peças utilizadas por advogados nos tribunais e cortes do mundo inteiro. Para serem consideradas provas válidas, é muito importante que o perito realize o processo de investigação de maneira cuidadosa e sistemática. Preservação das evidências Documentação detalhada 38

39 Forense Computacional Processo de investigação Fases de um processo de investigação: 39

40 Forense Computacional Coleta dos dados Identificação de possíveis fontes de dados: Computadores pessoais, laptops; Dispositivos de armazenamento em rede; CDs, DVDs; Portas de comunicação: USB, Firewire, Flash card e PCMCIA; Máquina fotográfica, relógio com comunicação via USB, etc. 40

41 Forense Computacional Coleta dos dados Os dados também podem estar armazenados em locais fora de domínios físicos da cena investigada. Provedores de Internet Servidores FTP (File Transfer Protocol) Servidores coorporativos Nesses casos, a coleta dos dados somente será possível mediante ordem judicial. 41

42 Forense Computacional Coleta dos dados Após a identificação das possíveis origens dos dados, o perito necessita adquiri-los. Para a aquisição dos dados, é utilizado um processo composto por três etapas: identificação de prioridade; cópia dos dados; garantia e preservação de integridade. 42

43 Forense Computacional Coleta dos dados Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade) na qual os dados devem ser coletados Volatilidade: dados voláteis devem ser imediatamente coletados pelo perito. Ex.: o estado das conexões de rede e o conteúdo da memória Esforço: envolve não somente o tempo gasto pelo perito, mas também o custo dos equipamentos e serviços de terceiros, caso sejam necessários. Ex.: dados de um roteador da rede local x dados de um provedor de Internet Valor estimado: o perito deve estimar um valor relativo para cada provável fonte de dados, para definir a seqüência na qual as fontes de dados serão investigadas 43

44 Forense Computacional Coleta dos dados Exemplo: investigação de invasão de rede, ordem da coleta de dados: dados voláteis: conexões da rede, estado das portas TCP e UDP e quais programas estão em execução; dados não-voláteis: a principal fonte de dados não-voláteis é o sistema de arquivos que armazena arquivos: temporários; de configuração; de swap; de dados; de hibernação; de log. 44

45 Forense Computacional Coleta dos dados Copiar dados: envolve a utilização de ferramentas adequadas para a duplicação dos dados Ex.: utilitário dd (Linux) - pode ser usado para coletar os dados voláteis como os contidos na memória e para realizar a duplicação das fontes de dados não-voláteis. Garantir e preservar a integridade dos dados: após a coleta dos dados, o perito deve garantir e preservar a integridade dos mesmos Se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante a justiça A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo hash Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos deverão ser relacionados em um relatório (cadeia de custódia) 45

46 Forense Computacional Coleta dos dados 46

47 Forense Computacional Exame dos dados Finalidade: avaliar e extrair somente as informações relevantes à investigação tarefa trabalhosa! Capacidade de armazenamento dos dispositivos atuais Quantidade de diferentes formatos de arquivos existentes (imagens, áudio, arquivos criptografados e compactados) Em meio aos dados recuperados podem estar informações irrelevantes e que devem ser filtradas Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados 47

48 Forense Computacional Exame dos dados A correta aplicação das diversas ferramentas e técnicas disponíveis pode reduzir muito a quantidade de dados que necessitam de um exame minucioso Utilização de filtros de palavras-chave (com ou sem expressões regulares) Utilização de filtros de arquivos, por: Tipo Extensão Nome Permissão de acesso Caminho Etc. 48

49 Forense Computacional Exame dos dados 49

50 Forense Computacional Exame dos dados 50

51 Forense Computacional Exame dos dados 51

52 Forense Computacional Exame dos dados Outra prática vantajosa é utilizar ferramentas e fontes de dados que possam determinar padrões para cada tipo de arquivo Úteis para identificar e filtrar arquivos que tenham sido manipulados por ferramentas de esteganografia, arquivos de sistema, imagens de pedofilia, etc. Projeto National Software Reference Library (NSRL): contêm uma coleção de assinaturas digitais referentes a milhares de arquivos 52

53 Forense Computacional Análise das informações Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos estão inter-relacionados Normalmente é necessário correlacionar informações de várias fontes de dados Ex. de correlação: um indivíduo tenta realizar um acesso não autorizado a um determinado servidor É possível identificar por meio da análise dos eventos registrados nos arquivos de log o endereço IP de onde foi originada a requisição de acesso Registros gerados por firewalls, sistemas de detecção de intrusão e demais mecanismos de proteção 53

54 Forense Computacional Análise das informações Além de consumir muito tempo, a análise de informações está muito suscetível a equívocos, pois depende muito da experiência e do conhecimento dos peritos. Poucas ferramentas realizam análise de informações com precisão. 54

55 Forense Computacional Resultados A interpretação dos resultados obtidos é a etapa conclusiva da investigação. O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, elencando todas as evidências localizadas e analisadas. O laudo pericial deve apresentar uma conclusão imparcial e final a respeito da investigação. 55

56 Forense Computacional Resultados Para que o laudo pericial torne-se um documento de fácil interpretação é indicado que o mesmo seja organizado em seções: Finalidade da investigação Autor do laudo Resumo do incidente Relação de evidências analisadas e seus detalhes Conclusão Anexos Glossário (ou rodapés) 56

57 Forense Computacional Resultados Também devem constar no laudo pericial: Metodologia Técnicas Softwares e equipamentos empregados Com um laudo bem escrito torna-se mais fácil a reprodução das fases da investigação, caso necessário. 57

58 Forense Computacional Live forensics Qual o melhor procedimento, desligar os equipamentos ou mantêlos operando a fim de executar os procedimentos de uma investigação? Ex.: IDS gera alerta que o servidor Web da empresa está sendo atacado, o que fazer no servidor? Desligá-lo (o que pode representar a perda de dinheiro para a instituição, mas garante o tempo e as condições necessárias para que os peritos realizem as suas atividades)? Mantê-lo ligado (coletar dados voláteis, correndo o risco de contaminação das evidências)? 58

59 Forense Computacional Live forensics Pode ser considerada uma fotografia da cena do crime. Tem como objetivo obter o máximo de informações relacionadas ao contexto: estado das conexões conteúdo da memória dados referentes aos processos em execução Quando realizada de forma correta, complementa e contribui para que o resultado da investigação seja conclusivo e preciso. 59

60 Forense Computacional Live forensics Em cenários em que os dispositivos não foram desligados é importante que as ferramentas utilizadas para executar os procedimentos forenses não tenham sido comprometidas para evitar: Geração de dados falsos: caso um rootkit esteja instalado; Omissão de informações, ex.: ocultar processos em execução no sistema operacional ou não mostrar determinadas entradas do arquivo de log do servidor. Rootkits podem: Modificar as ferramentas (comandos) do sistema operacional e assim permanecerem com acesso ao host e não serem identificados; Inserir filtros em determinadas partes do S.O. que impedem a visualização de algumas informações; 60

61 Forense Computacional Live forensics 61

62 Forense Computacional Live forensics A fim de evitar os riscos mencionados, sugere-se que o perito utilize um live CD com um conjunto de ferramentas apropriadas e que sejam confiáveis, pois isso servirá como contramedida para rootkits que atuam no nível da aplicação e de bibliotecas Atualmente, existem algumas distribuições Linux Forense Computacional voltadas a FDTK (Forense Digital ToolKit): baseado na análise de 10 distribuições voltadas a Forense Computacional, conta com quase 100 ferramentas, organizadas de acordo com as fases de um processo de investigação. 62

63 Forense Computacional Live forensics Contornar os problemas com rootkits que atuam no nível do kernel é mais complicado porque não há como acessar a memória ou o hardware sem passar pelo kernel Principal recomendação é utilizar os detectores de rootkits, mas esse tipo de ferramenta pode interferir no sistema de alguma forma 63

64 Forense Computacional Live forensics É importante relembrar que o perito deve: manter uma lista contendo hash de todas as evidências coletadas, para garantir a integridade; ter em mente que alguns dados são mais efêmeros do que outros e, portanto, a ordem de volatilidade deve ser considerada no momento da coleta dos dados. Em suma, além dos tipos de dados que podem ser coletados, a diferença mais significativa entre live e post-mortem analysis éo grau de confiança existente nos resultados obtidos. Ferramentas e comandos instalados no sistema investigado podem ter sido modificados para produzir dados falsos e também porque qualquer erro do perito pode contaminar ou alterar os dados existentes. 64

65 Técnicas Forenses Relembrando...Boas práticas que antecedem a coleta dos dados: Esterilizar todas as mídias que serão utilizadas ou usar mídias novas a cada investigação Certificar-se de que todas as ferramentas (softwares) que serão utilizadas estão devidamente licenciadas e prontas para utilização Verificar se todos os equipamentos e materiais necessários (por exemplo, a estação forense, as mídias para coleta dos dados, etc.) estão a disposição Quando chegar ao local da investigação, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidências Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, números de série, componentes internos, periféricos, etc. Manter a cadeia de custódia. 65

66 Técnicas Forenses Coleta de dados voláteis A primeira ação a ser tomada é manter o estado do equipamento (ligado dados voláteis ou desligado dados não-voláteis) Conexões de rede: os sistemas operacionais oferecem recursos que permitem visualizar informações sobre as conexões de rede atuais. (endereços IP de origem e destino, estado das conexões e o programa associado a cada uma das portas, etc.) 66

67 Técnicas Forenses Coleta de dados voláteis Sessões de Login: dados como a lista dos usuários atualmente conectados, o horário em que a conexão foi realizada e o endereço de rede de onde partiu essas conexões podem ajudar na identificação: dos usuários; das ações realizadas; do horário em que essas atividades foram executadas auxiliam na correlação! Conteúdo da memória: o espaço de troca e a memória principal normalmente contêm os dados acessados recentemente: senhas e os últimos comandos executados; resíduos de dados nos espaços livres ou que não estão em utilização. 67

68 Técnicas Forenses Coleta de dados voláteis Processos em execução: lista o estado de cada um dos processos do sistema. Arquivos abertos: comandos como o lsof (Linux) geram uma lista contendo o nome de todos os arquivos que estão abertos no momento. Configuração de rede: incluem informações como o nome da máquina, o endereço IP e o MAC Address de cada uma das interfaces de rede. Data e hora do sistema operacional: a data e hora atual do sistema e as configurações de fuso horário. 68

69 Técnicas Forenses Coleta de dados não voláteis Cópia lógica (Backup): as cópias lógicas gravam o conteúdo dos diretórios e os arquivos de um volume lógico. Não capturam outros dados: arquivos excluídos; fragmentos de dados armazenados nos espaços não utilizados, mas alocados por arquivos. Imagem: imagem do disco ou imagem bit-a-bit inclui os espaços livres e os espaços não utilizados: mais espaço de armazenamento, consomem muito mais tempo; permitem a recuperação de arquivos excluídos e dados não alocados pelo sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte não utilizada pelo arquivo 69

70 Técnicas Forenses Coleta de dados não voláteis 70

71 Técnicas Forenses Coleta de dados não voláteis A principal fonte de dados não-voláteis é o sistema de arquivos que armazena diversos tipos de dados: Arquivos temporários: durante a instalação e execução das aplicações são gerados arquivos temporários, que nem sempre são excluídos ao desligar os equipamentos Arquivos de configuração: fornecem uma série de informações, como a lista dos serviços que devem ser ativados durante o processo de inicialização, a localização de arquivos de log, a relação de grupos e usuários do sistema, etc. Arquivos de swap: fornecem dados sobre aplicações, nome e senha de usuários, entre outros tipos de dados 71

72 Técnicas Forenses Coleta de dados não voláteis Arquivos de Dados: são aqueles arquivos gerados por softwares como editores de texto, planilhas, agendas, etc. Arquivos de Hibernação: arquivos de hibernação são criados para preservar o estado do sistema e contêm dados sobre a memória do dispositivo e os arquivos em uso. Arquivos de Log: normalmente os sistemas operacionais registram diversos eventos relacionados ao sistema. 72