Duplicação Forense Computacional Recuperação de Arquivos Apagados Carlos Gustavo A. da Rocha
Introdução Relembrando: Todos os procedimentos periciais devem estar respaldados juridicamente para serem úteis em um processo investigativo As atividades periciais realizadas sem amparo legal tornam o autor (perito) tão ou mais ilegal que os sujeitos investigados (responsáveis pelos vestígios periciados).
Introdução (2) Relembrando: A contestação de técnicas periciais utilizadas (quando provada tecnicamente) pode inviabilizar todo o esforço pericial Cyberadvogados Na maioria das vezes é mais fácil provar que as técnicas utilizadas foram inadequadas que provar que o acusado é inocente
Introdução (3) Cyberadvogados brasileiros Renato Blum Omar Kaminski Patrícia Peck
Padrões de Exame Forense Computacional Assinatura de Mídias de Prova Funções de Hash (mais utilizado) Assinaturas Digitais (utiliza uma função de hash)
Assinatura de Mídias de Prova (2) A aplicação da função hash garante a integridade de um documento, mídia ou dispositivo, na medida em que qualquer alteração em seu conteúdo altera o resultado da função hash aplicada sobre o mesmo Realiza o mapeamento de uma sequência de bits de tamanho arbitrário para uma sequência de bits de tamanho fixo
Assinatura de Mídias de Prova (3) O resultado é chamado de hash do arquivo Os algoritmos da função hash foram desenvolvidos de tal forma que seja muito difícil encontrar duas mensagens produzindo o mesmo hash (resistência à colisão) e, que a partir do hash seja impossível reproduzir a sequencia que o originou Arquivo Partição Dispositivo Função hash assinatura hash
Assinatura de Mídias de Prova (4) Algoritmos mais conhecidos MD5 Message Digest Algorithm 5 128bits Padrão até a descoberta de possibilidades de geração de colisões Arquivo Partição Dispositivo MD5 assinatura hash
Assinatura de Mídias de Prova (5) Algoritmos mais conhecidos (2) SHA Secure Hash Algorithm 160 bits Padrão (mínimo) recomendado atualmente Suas variantes mais usadas são SHA256 e SHA512 Arquivo Partição Dispositivo SHA assinatura hash
Assinatura de Mídias de Prova (6) Comandos para cálculo de hash são instalados por padrão nas principais distribuições Linux md5sum, sha1sum, sha256sum, Podem ser aplicados em arquivos, partições, dispositivos, $ md5sum /etc/passwd 70c18e9eb8bd801c191dfcb6fcbe7ec1 /etc/passwd $ sudo sha1sum /dev/sda1 3b8ca4447e54a1c67142041ad49c52ff7a3e0fe7 /dev/sda1
Planejamento da perícia O que coletar e analisar? Mídias Memória Tráfego de rede
Planejamento da perícia (2) Escolha da ferramenta (critérios) deve levar em consideração Dispositivos, mídias e softwares envolvidos Sistemas Operacionais Estado dos Dados Legislação local e internacional aplicável
Planejamento da perícia (3) Dimensionar recursos necessários Ferramentas necessárias x disponíveis Tempo necessário x disponível Equipe necessária x disponível Capacitação suficiente? Garantir (ou não) a viabilidade antes do início das atividades
Mídia de prova Objeto (físico) real da investigação O equipamento (e seus periféricos) e mídias complementares que podem conter as provas procuradas Arquivos armazenados em disco ou memória, dados trafegados em rede,
Mídia de destino Destino dos dados capturados e/ou copiados da mídia de provas Imagem pericial sobre a qual devem ser realizados os procedimentos de análise e busca por provas. Necessário o uso de assinatura hash para atestar a integridade. Se possível com testemunhas
Análise ao Vivo Perícia em tempo real Análise feita diretamente sobre a mídia de provas Não ideal Comum em diligências para vistoria Delito não comprovado Manipulação de evidências pode inviabilizar perícia posterior (alteração de mídia de provas)
Análise OffLine "Post Mortem" Feita após a coleta de dados Sobre a mídia de destino Em análise de tráfego, é realizada sobre a mídia de destino na estação pericial, após a coleta e criação do hash
Duplicação Forense Aquisição de uma imagem de um disco rígido (ou outra mídia de armazenamento) é, em muitos casos, o ponto de partida de uma investigação A técnica conhecida como dead analysis determina que o disco a ser analisado deve ser clonado bit a bit e qualquer análise deve ser feita nessa cópia, de forma a manter a mídia analisada íntegra A imagem deve copiar todos os dados do disco, incluindo as partes não utilizadas (imagens RAW)
Duplicação Forense (2) Imagens RAW Pontos positivos Formato facilmente analisável Independe de ferramentas específicas Muitas ferramentas disponíveis, tanto para linha de comando (CLI) quanto para interface gráfica (GUI) Disponível em utilitários tanto para Linux quanto para Windows Muito útil também em análises de malware
Duplicação Forense (3) Imagens RAW Pontos negativos Não possui compactação Caso sejam compactados com (zip, gzip etc), eles não poderão ser analizados dessa forma, requerendo que sejam descompactados antes de serem usados Algumas operações são excessivamente lentas em função do tamanho dos arquivos
Duplicação Forense (4) Exemplos de outros tipos de imagens Expert Witness Propietário do Encase Permite compactação (sem perda) Advanced Forensic Format (AFF) Tentativa de padronização e solução de problemas Usa compactação, tratamento de erros e oferece bibliotecas para adaptação
Duplicação Forense (5) Exemplos de Softwares Norton Ghost?? Imagem.GHO e.ghs (formatos propietários) Imagem de disco de máquinas virtuais.vmdk (Vmware).VDI (virtualbox) Image Center (Drive Image)?? Imagem.PQI (formato propietário)
Duplicação Forense (6) Exemplos de Softwares (2) Acronis True Image Imagem.TIB (formato propietário) Drive Snapshot Imagem.SNA (formato propietário) Data duplicator dd Imagem no padrão RAW Linux, Windows
Duplicação Forense (7) Dispositivo x Partição Um dispositivo de armazenamento ou mídia (disco rígido, pendrive...) possui uma tabela interna que indica como o dispositivo está dividido em partições CDs e pendrives, na maioria das vezes, possuem apenas uma partição Discos, porém, comumente são particionados de forma a organizar melhor o armazenamento de arquivos Dependendo da situação será mais adequado criar a imagem do dispositivo inteiro ou uma de suas partições
Duplicação Forense (8) Data Duplicator dd (Windows/Linux) Exemplo de duplicação de dispositivo dd if=/dev/sdc of=data-img.raw Exemplo de duplicação de partição dd if=/dev/sdd1 of=data-img2.raw
Duplicação Remota Em algumas situações é necessário ou desejável executar o comando de duplicação em uma máquina e salvar a imagem do dispositivo/partição em outra Exemplo de duplicação remota de partição Túnel seguro dcfldd if=/dev/hdb1 ssh user@host_destino dcfldd of=imagem.raw
Após a duplicação Após a coleta dos dados, sua manipulação pode ser feita pelo próprio perito ou posteriormente por outro Extração é o processo de retirar das mídias periciadas as informações disponíveis Recuperação é o processo de buscar dados removidos total ou parcialmente, propositalmente ou não Carving normalmente refere-se a um processo de recuperação de dados corrompidos, intencionalmente escondidos etc
Ferramentas para recuperação de dados (windows) Active Uneraser Ontrack Easy Recovery Pro Winternals Disk Commander Prosoft Media Tools GetDataBack for FAT/NTFS FTK Imager Testdisk / Photorec
Magic Numbers Os arquivos de um mesmo tipo (pdf, jpg, mp3, zip, doc, ) possuem um formato padrão O conhecimento deste formato é essencial para o funcionamento das ferramentas de recuperação Possibilita encontrar e identificar um arquivo exclusivamente pelo seu conteúdo, não levando em consideração nome, SO, sistema de arquivos etc Um utilitário (não diretamente relacionado a forense) que demonstra esta funcionalidade é o file do linux
Sistemas de arquivos O que torna possível recuperar arquivos apagados? Um dispositivo formatado em FAT é dividido como mostrado a seguir Tabelas de arquivos Arquivos Informações sobre o sistema de arquivos Setor de boot
Sistemas de arquivos (FAT) Nas duas tabelas de arquivos ficam armazenados metadados sobre cada arquivo existente no dispositivo Nome, tamanho, data de alteração, local onde está armazenado fisicamente no disco, Quando criamos um novo arquivo uma nova entrada é criada nestas tabelas, com informações relacionadas ao mesmo
Sistemas de arquivos (FAT) Criação de novos arquivos x Livro.doc, 700k, 11/09/2011 11:53, x y x foto.jpg, 600k, 23/05/2010 15:12, y
Sistemas de Arquivos (FAT) Quando removemos um arquivo apenas as informações da tabela de arquivos são apagadas O conteúdo do arquivo permanece intacto no dispositivo y x Livro.doc, 700k, 11/09/2011 11:53, x foto.jpg, 600k, 23/05/2010 15:12, y
Sistemas de Arquivos (FAT) Neste caso, o conteúdo do arquivo Livro.doc está intacto no dispositivo, e pode ser recuperado, bastando usar um programa feito especificamente para isto y x Livro.doc, 700k, 11/09/2011 11:53, x foto.jpg, 600k, 23/05/2010 15:12, y
FTK imager Ferramenta proprietária, desenvolvida pela empresa AccessData Download gratuito em sua página Executa no SO Windows Versão de linha de comando para linux Suporta diversos tipos de dispositivos e partições FAT, NTFS, EXT,
FTK imager
TestDisk Ferramenta de código aberto Disponível para vários SOs Linux, Windows e MacOS X Suporta a correção de erros em tabelas de partições e recuperação de arquivos apagados FAT, NTFS, EXT
TestDisk