Grampos Digitais Usando Software Livre

Transcrição

1 Grampos DigitaisUsandoSoftwareLivre RicardoKléberMartinsGalvão VSeminárioNacionaldePerícias emcrimesdeinformática Palmas/TO 04a06deAgostode2010

2 RicardoKléber ProfessordoIFRN(SegurançadeRedes) ProfessordaFARN(EspecializaçãoemRedesdeComputadores) ProfessordaUniversidadePotiguar(EspecializaçãoemComputaçãoForense) ProfessordaUninorte/AC(EspecializaçãoemComputaçãoForense) BacharelemCiênciasdaComputação,MestreemEngenhariaElétrica(Sistemas Distribuídos)eDoutorandoemEngenhariaElétrica(SistemasInteligentes)[UFRN] CertificaçãoLinuxConectivaeBrainbench ColunistadoBlogSeginfo MembrodoComitêTécnicodoSeginfo'2010 Publicações/ApresentaçõesnoSSI,Seginfo,Iccyber,GTS/NicBR,Encsirt,FISL,Ensol, EpsleoutroseventosnasáreasdeSegurançadaInformaçãoeSoftwareLivre AtividadesRecentes Ex SecurityOfficerdaUFRN(SuperintendênciadeInformática) FundadordoCSIRTNARIS(NúcleodeAtendimentoeRespostaaIncidentesde Segurança)daUFRN Ex DiretordeRedesdoDetran/PE Ex DiretordeEnsinodoIFRN/CampusCurraisNovos Ex CoordenadordeTIdoIFRN/CampusCurraisNovos FundadordoNUPETIS NúcleodePesquisaemTInoSeridó ConsultoriaetreinamentosemSegurançadaInformaçãoeSoftwareLivreem provedoresinternet,empresaseórgãosgovernamentaisdorn,pi,peeap.

3 ObjetivoPrincipal Cooperação

4 Grampo ContextoGeral (germânico*kramp,gancho) 1.Peçademetalouplásticoquepermiteprender conjuntamenteváriasfolhasdepapel. 2.Pequenapeçametálica,recurvada,deduas hastes,comqueasmulheresprendemoscabelos. 3.PregoemformadeUparaprenderosarames farpadosdascercas. 4.Espéciedeganchoougatometálicocomquese ligamduaspedrasdeumaconstrução. 5.Hastedeferroque,emalgumasmáquinas,segura apeçaemquesetrabalha. 6.Saliência,naextremidadedocanodaespingarda, parasegurarabaioneta. 7.Grampocirúrgico,omesmoqueagrafo. Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

5 Grampo Contexto::Interceptação Tradicional:InterceptaçãoTelefônica Lei9.296/96(24dejulhode1996) Disciplinaousodeinterceptaçõesde comunicaçõestelefônicasecondiciona suaexecuçãoauma ordemdojuiz competentedaaçãoprincipal,sob segredodejustiça Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

6 Grampo InterceptaçãoTelefônicaLegal Guardião... Sombra... SIS... SIS(SistemadeInterceptaçãodeSinais) Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

7 Grampo Digital Escutatelemática ContextoLegal autorizada realizadaporagentedalei ouperíciacredenciada ALei9.296/96também aplica separa interceptação dofluxodecomunicaçõesem sistemasdeinformáticae telemática = Grampo em linhasdetransmissãode dadoscomacessoa dadoseinformações. Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

8 Grampo Digital Tecnicamentefalando... Interceptaçãodepacotesemredes TCP/IP,identificaçãodeorigem, destino,protocolos/serviços, remontagemdemensagenseanálise deconteúdo. Limitação:ausênciadecriptografia (oucriptografia fraca ) Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

9 AnáliseForense Aaplicaçãodeprincípiosdasciênciasfísicasaodireito nabuscadaverdadeemquestõescíveis,criminais edecomportamentosocial paraquenãosecometaminjustiças contraqualquermembrodasociedade (ManualdePatologiaForensedoColégiodePatologistasAmericanos,1990). Levantarevidênciasquecontamahistóriadofato: Quando? Como? Porque? Onde? NormaseProcedimentos Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

10 AnáliseForenseComputacional PrincipaisEtapas Aquisição Identificação Avaliação Apresentação Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

11 AnáliseForenseComputacional ConceitosRelacionados MídiadeProvas MídiadeDestino AnáliseaoVivo AnáliseOff line Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

12 MídiadeProvas Objeto(físico)realdainvestigação Oequipamento(eseusperiféricos)quepodemconterasprovas procuradas Arquivos armazenados em disco ou memória ou responsável pelo recebimento/geração de dados trafegados em rede quandoestesforemosobjetosdainvestigação. Abordagemdeaspectostécnicos......nãonecessariamentelegais Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

13 MídiadeDestino Destinodosdadoscapturadose/oucopiadosdamídiadeprovas. Imagempericialsobreaqualserãorealizadososprocedimentosde análiseebuscaporprovas. Necessárioousodeassinaturahashparaatestaraintegridade. Comoduplicaramídiadeprovasemum grampo detráfego? Assinaturahashdamídiadedestino(comtestemunhas). Validadejurídica!!?? Fépública!!! Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

14 CompondoaMídiadeDestinodeTráfego Ideal GeraçãodeMídiaeAssinaturaLocal Coletaemdispositivodearmazenamentoexterno oucópiaremotaparaestaçãopericial(redelocal) Naimpossibilidadedegeraçãolocal GeraçãodeMídiaeAssinaturaRemota Usodenetcate/oussh Validadejurídica!!?? Fépública!!! Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

15 AnáliseaoVivo Períciaemtemporeal Análisefeitadiretamentesobreamídiadeprovas Comumemdiligênciasparavistoria(delitonãocomprovado) Manipulaçãodeevidênciasnamídiadeprovaspodeinviabilizar períciaposterior(alteraçãodemídiadeprovas) Ideal Análise realizada sobre dados (cópia de mídia ou tráfego) capturadosapartirdamídiadeprovas(namídiadedestino) Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

16 AnáliseOff Line "PostMortem" Feitasobreamídiadedestinoapós acoletadedados Em análise de tráfego, é realizada sobreamídiadedestinonaestação pericial,apósageraçãoremota(ou coletalocal)eassinatura Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

17 Posicionandoo Grampo Digital Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

18 Posicionandoo Grampo Digital Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

19 InterceptaçãocomSniffers Usodehubs(ouswitchescomportademonitoramento) Localizaçãonamesmarededa(s)máquina(s)investigada(s) InterfaceemModopromíscuo Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

20 Posicionandoo Grampo Digital Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

21 InterceptaçãonoRoteador Posicionamentoestratégico Exigecooperaçãodaadministração Cenário01 SniffernoPróprioRoteador Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

22 InterceptaçãonoRoteador Cenário02 RoteadorConvencional (nãopermiteinstalaçãodesniffers) RoteadorConfigurável+Sniffer Bridge+Sniffer Hub+Sniffer(hardwareesoftware) Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

23 InterceptaçãonoRoteador AlternativaaoUsodeSniffers UsoemfirewallsLinux(Netfilter/Iptables) Cópiadospacoteseevioparamáquinaourede MóduloROUTE.patch Exemplo: iptables APREROUTING tmangle ptcp dport80 jroute gwestacao_pericial tee Grampos DigitaisUsandoSoftwareLivre::RicardoKléber Estação Pericial

24 CapturadeDados(*Pcap/*Dump) Biblioteca+Ferramenta LibPcap + TcpDump WinPcap + WinDump Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

25 CapturadeDados(Tcpdump) CapturadeTráfegoEspecífico tcpdump X vvv i<interf> s0 w<arquivo_captura> src[origem] Telnet:[porta]=23 dst[destino] TráfegoWeb:[porta]=80 TráfegoFTP:[porta]=20ou21[port20orport21] TráfegodeE mails: SMTP:[porta]=25 POP3:[porta]=110 port[porta] TráfegoInstantMessenger(MSN/Yahoo) TráfegoVoIP(SIP/G.711) Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

26 AnálisedeCaptura(Ethereal/Wireshark) Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

27 AnálisedeCaptura::Wireshark Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

28 AnálisedeCaptura::Wireshark RemontagemdesessãoTelnetcomopçãoFollowTCPStream Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

29 AnálisedeCaptura::Wireshark RemontagemdesessãoHTTPcomopçãoFollowTCPStream Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

30 AnálisedeCaptura::Wireshark RemontagemdesessãoFTPcomopçãoFollowTCPStream Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

31 AnálisedeCaptura::Wireshark RemontagemdesessãoPOP3comopçãoFollowTCPStream Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

32 SniffersEspecíficosparaCapturadeSenhas dsniff ftp,telnet,smtp,http,pop,imap,snmp,ldap,... mailsnarf mailsnarf i<interface> tee s.log Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

33 AnálisedeTráfegoWireless(c/criptografia) Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

34 AnálisedeTráfegoWireless(s/criptografia) Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

35 SnifferWireless(PacoteAircrack) Funcionamento Capturartráfegodarede(dump) Aplicaraferramentasobreoarquivo SenúmerodeIVsforsuficientechavedescoberta Casocontrário...questãodetempo [airmon/airmon ng]starteth0 [airodump/airodump ng] ivs wteste.ivs c11 abgeth0 [aircrack/aircrack ng]teste.ivs Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

36 SnifferWireless(Airodump) Otimizadoparatráfegowireless airodump[interface][arquivo_saida][canal] BSSID,Firsttimeseen,Lasttimeseen,Channel,Speed,Privacy,Power,#beacons,#data,LANIP,ESSID 00:11:50:5E:AA:29, :25:32, :27:51,11,48,WEP?,15,56,0, ,Home Luis 00:02:2D:AB:04:A9, :25:32, :27:37,11,11,OPN,14,24,402, ,RNLITA05 00:02:2D:93:86:8A, :25:32, :27:52,3,11,OPN,14,21,130, ,RNLITA04 02:0E:64:40:3C:22, :25:32, :27:33,2,11,WPA,25,131,1164, ,bbcvnet 00:05:9E:82:0D:33, :25:33, :27:52,3,11,OPN,16,50,56, ,RNLITA08 00:05:9E:82:13:09, :25:33, :27:53,9,11,WEP,13,120,170, ,RNLITA07 00:05:9E:81:77:F7, :25:33, :27:09,8,11,OPN,14,23,23, ,EURUANDA 00:60:1D:22:66:18, :25:33, :27:42,4,11,WPA,13,51,210, ,sihol1 00:0E:2E:2C:82:86, :25:34, :27:55,6,54,WEP?,11,80,0, ,Default 00:05:9E:81:19:09, :25:34, :27:32,7,11,OPN,12,21,98, ,RNLITA03 00:02:2D:AB:5B:44, :25:34, :27:35,7,11,OPN,14,7,156, ,RNLITA01 00:0E:2E:39:E6:17, :25:35, :27:08,6,54,WEP,15,6,7, ,Default 00:02:2D:55:D0:96, :25:35, :27:44,6,11,WEP,11,20,6, , 00:12:17:71:79:26, :25:35, :27:34,11, 1,WEP,14,0,86, , 00:02:2D:55:D0:28, :25:36, :27:09,11,11,WPA,17,10,19, , 00:0E:2E:06:52:6C, :25:38, :27:40,10, 1,,12,0,0, , 00:05:9E:82:11:AD, :25:38, :27:29,10,11,OPN,13,11,15, ,RNLURU09 00:0C:41:18:24:84, :25:40, :27:06,4,11,WEP?,15,16,0, , 00:05:9E:82:0C:D9, :25:43, :27:30,11,11,OPN,14,1,5, ,RNLURU08 00:02:2D:0F:71:C4, :25:49, :27:07,2, 1,OPN,21,0,22, , 00:0D:88:A4:6A:F2, :25:50, :27:05,6,2,OPN,14,5,3, ,SF 00:05:9E:81:19:19, :26:02, :27:03,4,11,OPN,15,8,0, ,RNLTER01 00:15:E9:33:41:1A, :26:03, :27:00,10,11,WEP?,16,4,0, ,default 00:0E:2E:0C:1C:53, :26:04, :27:26,6,1,OPN,12,12,0, , 00:D0:09:44:01:53, :26:11, :26:11,2, 1,,28,0,0, , 00:06:25:24:AB:F1, :26:25, :27:54,2,11,OPN,16,12,0, , 00:15:E9:04:57:EA, :26:43, :27:08,6,54,WEP?,16,14,0, ,PedroePedro 00:0C:41:18:23:AE, :26:55, :26:55,4, 1,WPA,14,0,2, , 00:4F:62:07:08:23, :27:10, :27:28,7,54,WEP,12,2,1, ,Parnanet 00:0A:52:00:4E:AD, :27:39, :27:39,1, 1,WEP,18,0,1, , Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

37 SnifferWireless(Airodump) Otimizadoparatráfegowireless airodump[interface][arquivo_saida][canal] StationMAC,Firsttimeseen,Lasttimeseen,Power,#packets,BSSID,ESSID 00:40:F4:9F:D7:B3, :25:32, :27:37,14,279,00:02:2D:AB:04:A9,RNLITA05 00:40:F4:C4:BD:D4, :25:32, :27:09,14,10,00:02:2D:AB:04:A9,RNLITA05 00:05:9E:81:19:59, :25:32, :27:01,15,24,00:02:2D:AB:04:A9,RNLITA05 00:4F:62:05:A1:54, :25:32, :26:58,18,5,00:02:2D:93:86:8A,RNLITA04 00:05:9E:81:DF:9F, :25:32, :27:02,19,25,00:02:2D:93:86:8A,RNLITA04 00:0E:2E:55:3C:22, :25:33, :27:42,22,1353,02:0E:64:40:3C:22,bbcvnet 00:4F:62:06:03:61, :25:33, :27:03,19,38,00:60:1D:22:66:18,sihol1 00:05:9E:81:19:5F, :25:33, :27:35,23,85,00:05:9E:82:13:09,RNLITA07 00:05:9E:81:53:AB, :25:34, :27:35,16,150,00:02:2D:AB:5B:44,RNLITA01 00:05:9E:81:1E:B9, :25:34, :26:52,14,31,00:05:9E:81:19:09,RNLITA03 00:11:95:E5:A6:71, :25:34, :25:34,15,1,00:05:9E:81:19:09,RNLITA03 00:4F:62:04:1B:AB, :25:35, :27:34,14,86,00:12:17:71:79:26, 00:4F:62:04:16:F3, :25:36, :26:54,16,16,00:02:2D:55:D0:28, 00:05:9E:81:1E:31, :25:36, :27:02,21,17,00:02:2D:93:86:8A,RNLITA04 00:4F:62:04:0B:A2, :25:36, :25:36,21,1,00:02:2D:93:86:8A,RNLITA04 00:05:9E:81:1E:AD, :25:36, :26:16,21,7,00:02:2D:93:86:8A,RNLITA04 00:4F:62:03:E6:CF, :25:36, :26:58,21,13,00:02:2D:93:86:8A,RNLITA04 00:13:46:8B:D1:BF, :25:37, :27:31,17,147,00:60:1D:22:66:18,sihol1 00:02:2D:8F:CC:04, :25:39, :25:53,13,4,00:02:2D:55:D0:96, 00:0E:2E:42:FF:F3, :25:39, :26:54,15,11,00:02:2D:AB:04:A9,RNLITA05 00:4F:62:05:7E:1E, :25:40, :25:50,19,4,00:02:2D:93:86:8A,RNLITA04 00:4F:62:04:0C:04, :25:40, :27:52,18,7,00:02:2D:93:86:8A,RNLITA04 00:4F:62:06:E6:53, :25:40, :27:06,19,8,00:60:1D:22:66:18,sihol1 00:4F:62:03:E8:89, :25:41, :27:06,24,66,00:05:9E:82:13:09,RNLITA07 00:0E:2E:2C:82:FF, :25:41, :27:32,14,32,00:05:9E:81:19:09,RNLITA03 00:4F:62:07:64:DE, :25:43, :25:43,18,1,00:02:2D:AB:04:A9,RNLITA05 00:0E:2E:74:89:DE, :25:43, :25:43,14,2,00:05:9E:82:0C:D9,RNLURU08 00:13:46:26:BC:00, :25:43, :27:34,17,13,00:02:2D:93:86:8A,RNLITA04 00:0E:2E:42:FF:F1, :25:43, :27:06,16,14,00:02:2D:93:86:8A,RNLITA04 00:05:9E:81:51:F7, :25:44, :27:35,23,52,00:05:9E:82:13:09,RNLITA07 00:05:9E:81:1B:2D, :25:46, :26:33,15,4,00:02:2D:AB:04:A9,RNLITA05 Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

38 SnifferWireless(Aircrack) AChaveWepéumproblema? aircrack[arquivodecaptura] #BSSIDESSIDEncryption 100:11:50:5E:AA:29Home LuisNodata WEPorWPA 200:02:2D:AB:04:A9RNLITA05None( ) 300:02:2D:93:86:8ARNLITA04None( ) 402:0E:64:40:3C:22bbcvnetWPA(0handshake) 500:05:9E:82:0D:33RNLITA08None( ) 600:05:9E:82:13:09RNLITA07WEP(1IVs) 700:05:9E:81:77:F7EURUANDANone( ) 800:60:1D:22:66:18sihol1WPA(0handshake) 900:0E:2E:2C:82:86DefaultNodata WEPorWPA 1000:05:9E:81:19:09RNLITA03None( ) 1100:02:2D:AB:5B:44RNLITA01None( ) 1200:0E:2E:39:E6:17DefaultWEP(7IVs) 1300:02:2D:55:D0:96WEP(6IVs) 1400:12:17:71:79:26WEP(86IVs) 1500:02:2D:55:D0:28WPA(0handshake) 1600:0E:2E:06:52:6CUnknown 1700:05:9E:82:11:ADRNLURU09None( ) 1800:0C:41:18:24:84Nodata WEPorWPA 1900:05:9E:82:0C:D9RNLURU08None( ) 2000:02:2D:0F:71:C4None( ) 2100:0D:88:A4:6A:F2SFNone( ) 2200:05:9E:81:19:19RNLTER01None( ) 2300:15:E9:33:41:1AdefaultNodata WEPorWPA 2400:0E:2E:0C:1C:53None( ) 2500:02:2D:0F:72:1FRNLITA02None( ) 2600:D0:09:44:01:53Unknown 2700:06:25:24:AB:F1None( ) 2800:15:E9:04:57:EAPedroePedroNodata WEPorWPA 2900:0C:41:18:23:AEWPA(0handshake) 3000:05:9E:81:1E:97EITAJSULNone( ) 3102:02:40:DB:B8:AFwire002Nodata WEPorWPA 3200:4F:62:07:08:23ParnanetWEP(1IVs) 3300:0A:52:00:4E:ADWEP(1IVs) Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

39 SnifferWireless(Aircrack) AChaveWepéumproblema? Indexnumberoftargetnetwork?12 NotenoughIVsavailable.Youneedabout IVstocrack 40 bitwep,andmorethan ivstocracka104 bitkey. Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

40 SnifferWireless(Aircrack) NúmerodeIVssuficiente=Senhaquebrada Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

41 Apoioa Grampos Wireless(OutrasFerramentas) WepCrack[ WepAttack[ Airsnort[ [ Airbase Airfart Airjack Airomap Airpwn Airsnarf Airtraf Anwrap APHopper APRadar APhunter ASleap Chopchop Cowpatty DMZS Carte Driftnet FakeAP KARMA Kismet LibRadiate LORCON Mognet PrismStumbler Scapy SSIDSniff THCLEAPCracker WarGlue WarLinux... Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

42 MonitorandoMSNMessenger AIMSniff( SnifferMSNeAIM(AOL) PCAP+PHP+MySQL Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

43 MonitorandoMSNMessenger AIMSniff( Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

44 MonitorandoMSNMessenger AIMSniff( Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

45 MonitorandoMSNMessenger AIMSniff( Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

46 MonitorandoMSNMessenger AIMSniff( Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

47 MonitorandoMSNMessenger Scanhill( EscritoemC OpçãodegravaçãoemMySQL(emecanismodebuscasoffline) InterfacePHP

48 MonitorandoMSNMessenger IMHear( Permitepersonalizarlogs(separadosporipp.ex.) Verificarinterfacesderedemonitoráveis:./hear Monitorarinterface0(eth0):./hear0 Logsem/var/log/msndump/log Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

49 MonitorandoMSNMessenger OutrosSniffersMSN msniff imsniff unix/ snif/ Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

50 MonitorandoMSNMessenger Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

51 MonitorandoTráfegoVoIP VOMIT(VoiceOverMisconfiguredInternetTelephones) ( TráfegocapturadocomoSniffer(padrãotcpdump) ConversãoparaarquivowavecomoVOMIT Reproduçãoemqualquerplayer Somenteparatráfegonãoencriptado(misconfigured) TrabalhasomentecomG.711(padrãoutilizadoportelefonesIPCiscoe Microsoft Netmeeting) vomit rtrafego.dump waveplay S8000 B16 C1 Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

52 MonitorandoTráfegoVoIP Voipong( EscritoemC DetectaecapturatráfegoVoIPeseparaemarquivosWAVdistintos estacaopericial#./voipctl ConnectedtoVoIPongManagementConsole System:efe.enderunix.org voipong>help Commands: help:thisone quit:quitmanagementconsole uptime:serveruptime logrotate:rotateserver'slogs shutdown:shutdownserver rusage:cpuusagestatisticsfortheserver loadnets:reloadvoipongnetsfile info:generalserverinformation shcall:showcurrentlymonitoredcalls shrtcp:showcurrentlyrtcpcache killcall[id]:endmonitoringsessionwith[id] Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

53 MonitorandoTráfegoVoIP UCSniff( Codecs(compressão)suportados:G.729,G.723,G.726,G.722eG.711

54 MonitorandoTráfegoVoIP UCSniff( TambémfuncionacomogrampodeTransmissõesdeVídeo Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

55 MonitorandoTráfegoVoIP::Wireshark AnálisedoTráfegoSIP/RTP TráfegocapturadoapartirdeumcenáriocomdoistelefonesVoIP,um servidorasterisk(elastix)eumnotebookfuncionandocomosniffercom Wireshark ComoWiresharkcapturandopacotes(funcionandocomosniffer)foi realizadaumaligaçãoentreostelefonesvoip(interlocutores incentivadosaconversardurantealigação). AnálisedotráfegoSIP/RTPcapturadocomWireshark UtilizaçãodasferramentasdeanálisedeVoIPCallsdoWiresharke executar(play)agravaçãododiálogocapturado Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

56 MonitorandoTráfegoVoIP::Wireshark AnálisedoTráfegoSIP/RTP ServidorVoIP (Asterisk/Elastix) Telefone VoIP Hub Wireshark Sniffing Grampos DigitaisUsandoSoftwareLivre::RicardoKléber Telefone VoIP

57 MonitorandoTráfegoVoIP::Wireshark Wireshark::Statistics/VoIPCalls Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

58 EoSkype? Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

59 07/07/2010 Forover10years,Skypeenjoyedsellingtheworldsecuritybyobscurity.Wemustadmit,reallygoodobscurity.Imean,reallyreally goodobscurity.sogoodthatalmostnoonehasbeenabletoreverseengineeritoutofthenumerousskypebinaries.thosewhocould, didn tdaretopublishtheircode,asitmostcertainlylookedscarierthanfrankenstein. Thetimehascometorevealthissecret. protocol,theobfuscatedskyperc4keyexpansionalgorithminplainportablec.enjoy! Whypublishitnow? Itsohappenedthatsomeofourcodegotleakedacoupleofmonthsago.WecontactedSkypereportingtheleak. Onlyweekslater,ourcodeisalreadybeingusedbyhackersandspammersandweareabusedbySkypeadministration.Idonotwant togointoanyfinger pointingdetailshere,butnaturally,wedonotwishtobeheldresponsibleforourcodebeingabused.sowe decidedthatthetimehascomeforalltheitsecurityexpertstohaveit.whyletthehackershavetheadvantage?asprofessional cryptologistsandreverseengineers,wearenotontheirside.skypeisapopularandimportantproduct.webelievethatthispublication willhelptheitsecuritycommunityhelpsecureskypebetter. However,forthetimebeing,wearenotgivingawayalicencetouseourcodeforfreeincommercialproducts.Pleasecontactusifyou needacommerciallicence. Itisnotallsecuritybyobscurityofcourse.ThereisplentyofgoodcryptographyinSkype.Mostofitisimplementedproperlytoo.There areseventypesofcommunicationencryptioninskype:itsserversuseaes 256,thesupernodesandclientsusethreetypesofRC4 encryption theoldtcprc4,theoldudprc4andthenewdh 384basedTCPRC4,whiletheclientsalsouseAES 256ontopof RC4.Itallisquitecomplicated,butwe vemastereditall.ifyouwanttoknowmore,cometoberlinfor27c3tohearallthejuicydetails onhowtousethisfunctiontodecryptskypetraffic. Withbestregards, SkypeReverseEngineeringTeam biggest secret revealed Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

60 Revelado...eDisponível!!! Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

61 Informaçõesnocabeçalhodoarquivo * SkypeLibraryRC4v1.109bySeanO'Neil. * Copyright(c) VESTCorporation. * Allrightsreserved. * Notforcommercialuse. * * Wearereverseengineers. * Wecanproveifyouhaveusedthiscodeinyourproduct. * Wewillfindyou. * Wewillprosecuteforcopyrightinfringement. * Thiscodeisquiteuniqueandiseasilyidentifiable. * ResultmaymatchSkype's100%,butthiscodeisours. * ThecomputationissignificantlydifferentfromSkype's. * * Foracademicresearchandeducationalpurposesonly. * IfyourequireSkypecompatibilityinyourproducts, * feelfreetocontactseano'neilonwww.enrupt.com * * Lastchanges: (aminorcorrectionfrom1.108thatdoesnotaffectitsuse inskype compatibleprojects) * Published: * Morewillbepublishedat27C3,December2010( * \*/ Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

62 27C3::27oChaosCommunicationCongress Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

63 ChaosComputerClub Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

64 ConsideraçõesFinais Diversidade(erobustez)desoftwareslivresparaperíciaforense computacional; Ahomologaçãodeferramentasparaousopericialpassapela aberturadocódigo(paravalidação); Emboraexistamdesafiosjurídicosparaavalidaçãodasprovas extremamentevoláteis(comoasbaseadasemtráfegoderede) as ferramentas adequadas (soluções técnicas) existem e não temcustodeaquisição;...algunsporémpreferempagarporisso Grampos DigitaisUsandoSoftwareLivre::RicardoKléber

65 Perguntas Grampos DigitaisUsandoSoftwareLivre::RicardoKléber