RecuperandoDadosApagadoscomLinux RicardoKléberMartinsGalvão www.ricardokleber.com.br ricardo.galvao@ifrn.edu.br Parnamirim/RN 09deAbrilde2011 RecuperandoDadosApagadoscomLinux::RicardoKléber
RicardoKléber ProfessordoIFRN(SegurançadeRedes) DiretordeRegulaçãodoEnsino(IFRN) ProfessordaFARN(EspecializaçãoemRedesdeComputadores) ProfessordaUniversidadePotiguar(EspecializaçãoemComputaçãoForense) ProfessordaUninorte/AC(EspecializaçãoemComputaçãoForense) BacharelemCiênciasdaComputação,MestreemEngenhariaElétrica(Sistemas Distribuídos)eDoutorandoemEngenhariaElétrica(SistemasInteligentes)[UFRN] CertificaçãoLinuxConectivaeBrainbench ColunistadoBlogSeginfo MembrodoPSL RN Publicações/ApresentaçõesnoSSI,Seginfo,Iccyber,GTS/NicBR,Encsirt,FISL,Ensol, EpsleoutroseventosnasáreasdeSegurançadaInformaçãoeSoftwareLivre AtividadesRecentes Ex SecurityOfficerdaUFRN(SuperintendênciadeInformática) FundadordoCSIRTNARIS(NúcleodeAtendimentoeRespostaaIncidentesdeSegurança)daUFRN Ex ProfessordaUFRN(SistemasOperacionais,LinguagensdeProgramaçãoeRedesdeComputadores) Ex DiretordeRedesdoDetran/PE ConsultoriaetreinamentosemSegurançadaInformaçãoeSoftwareLivreemprovedoresInternet, empresaseórgãosgovernamentaisdorn,pi,peeap. RecuperandoDadosApagadoscomLinux::RicardoKléber
IdentificandooPerfildoPúblico Quematua/conheceaÁreade ComputaçãoForense? RecuperandoDadosApagadoscomLinux::RicardoKléber
Contextualizando... AnáliseForense Aaplicaçãodeprincípiosdasciênciasfísicasaodireito nabuscadaverdadeemquestõescíveis,criminais edecomportamentosocial paraquenãosecometaminjustiças contraqualquermembrodasociedade (ManualdePatologiaForensedoColégiodePatologistasAmericanos,1990). Levantarevidênciasquecontamahistóriadofato: Quando? Como? Porque? Onde? NormaseProcedimentos RecuperandoDadosApagadoscomLinux::RicardoKléber
OqueumPeritoPrecisa/DeveAnalisar? ExtraçãoxRecuperação Extraçãoéoprocessoderetirardasmídiaspericiadasas informaçõesdisponíveis; Recuperaçãoéoprocessodebuscardadosremovidos totalouparcialmente,propositalmenteounão. RecuperandoDadosApagadoscomLinux::RicardoKléber
Contextualizando... SistemadeArquivos conjuntodeestruturaslógicasederotinas,quepermitemao sistemaoperacionalcontrolaroacessoaodiscorígido SistemasdeArquivospadrõesWindows:FAT16,FAT32,NTFS Sistemas de Arquivos padrões Linux/Unix: EXT2, EXT3, EXT4, ReiserFS,XFS,JFS,... DataCarving(ouFileCarving) independedesistemadearquivos RecuperandoDadosApagadoscomLinux::RicardoKléber
Contextualizando... MagicNumbers/FileSignatures Funciona como uma assinatura dotipodearquivo. Método de identificação de arquivos independente de sistema operacional/sistemadearquivos. Baseia se em informações inseridas/coletadasdentrodecada arquivo (cabeçalhos, rodapés, camposespecíficos) RecuperandoDadosApagadoscomLinux::RicardoKléber
CenárioparaPrática Paraaspráticasdestapalestrausaremosum pendrivecom4partições(contendodados apagadospropositalmente) RecuperandoDadosApagadoscomLinux::RicardoKléber
Carving(Extração)emMídias Magicrescue Concebido(inicialmente)pararecuperaçãodeimagens(fotos) apagadas Recupera arquivos específicos (com padrão definido em base específica)apartirdeumapartição,paraumdiretórioespecificado. avicanon cr2elfflacgimp xcfgplgzipjpeg exifjpeg jfifmp3 id3v1mp3 id3v2msofficenikon rawperlpngppmzip Debian like(apt getinstallmagicrescue) RecuperandoDadosApagadoscomLinux::RicardoKléber
Carving(Extração)emMídias Magicrescue Funcionamento Executaraplicativocomparâmetrosespecíficos magicrescue -d diretorio_destino -r base_tipos dispositivo diretorio_destino::diretórioondeserágravadooresultado base_tipos::basecompadrãodotipodearquivobuscado (/usr/share/magicrescue/recipes) dispositivo::caminhododispositivoanalisado Exemplo: magicrescue -d /home/forense/analisar -r /usr/share/magicrescue/recipes/avi /dev/sda1 RecuperandoDadosApagadoscomLinux::RicardoKléber
Demonstração DataCarvingcomMagicrescue RecuperandoDadosApagadoscomLinux::RicardoKléber
CarvingemImagemdeMídia Foremost Rápido,fácilerobusto:foremost Debian like(apt getinstallforemost) foremost t<tipo1,tipo2,...> idispositivo o<destino> Tiposdearquivosreconhecidos:jpg,gif,png,bmp,avi,exe,mpg, wav,riff,wmv,mov,pdf,ole,doc,zip,rar,htm,cpp,... Paratodosostiposdearquivos:-t all Ex.:foremost/dev/sda1 odiretorio_destino RecuperandoDadosApagadoscomLinux::RicardoKléber
Demonstração DataCarvingcomForemost RecuperandoDadosApagadoscomLinux::RicardoKléber
CarvingemImagemdeMídia Scalpel Semelhanteaoforemost:scalpel Debian like(apt getinstallscalpel) scalpel<imagem> o<destino> Porpadrão,todosostiposdearquivosnobancodedados (/etc/scalpel/scalpel.conf)estãocomentados(nãogera resultadossenãoforalterado) Paraespecificarquaistiposdearquivossedesejaextrair,épreciso editaroarquivoedescomentaraslinhasdesejadas. Ex.:scalpel/dev/sda1 odiretorio_destino RecuperandoDadosApagadoscomLinux::RicardoKléber
Demonstração DataCarvingcomScalpel RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) Eseo(s)arquivo(s)apagado(s)nãotiver(em)assinatura(s)? Ex:Aplicaroforemostnapartição02doPendrive01 Ainexistênciaderesultadoscomorespostadeuma ferramentadedatacarvingnãopodeserpretextopara encerramentodeumaperícia RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) AsferramentasflseicatfazempartedopacoteSleuthkit Debian like(apt getinstallsleuthkit) $ fls /dev/sdb1 $ icat /dev/sdb1 6 > exemplo.mp3 $ mplayer exemplo.mp3 RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) HistóricoeEvoluçãodasFerramentas Origem 6deagostode1999; DanFarmerandWietseVenema; IBMT.J.WatsonResearchCenter; Apresentaramapalestra: UNIXComputerForensicsAnalysis,promovidapelaIBM. Primeiraferramenta TheCoroner'sToolkit(TCT) RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) HistóricoeEvoluçãodasFerramentas TCT::TheCoroner'sToolkit Limitações: TipodePartiçãoInvestigada NãoreconhecepartiçõesNTFS,FATeEXT3 InterfacePoucoAmigável Necessárioconhecimentodelegendas Ausênciademecanismodecatalogaçãodeperíciasrealizadas Framework??? RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) HistóricoeEvoluçãodasFerramentas TheSleuthKit Coleçãodeferramentasparaanálisedesistemas CapazdeanalisarsistemasdearquivosNTFS,FAT,UFS,EXT2eEXT3 BrianCarrier 2002 InicialmentechamadoT@SK The@stakeSleuthKit BaseadonoTCT BrianCarrierdesenvolveu,antesdoT@SKumconjuntodeferramentas queutilizamfunçõeseestruturasdotctprovendofuncionalidades extras.aestasferramentasdeuonomedetctutils RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) HistóricoeEvoluçãodasFerramentas SleuthKit/TheAutopsyForensicBrowser Interfacegráfica(escritaemPerl)paraoSleuthKit BaseadaemHTML,semelhanteaumgerenciadorde arquivos Permiteanalisararquivos,diretórios,blocosdedadose i nodes(alocadosouapagados)emumaimagemde sistemadearquivosouemumarquivogeradopelodls. Permiteabuscaporpalavras chaveouexpressões regulares. Debian like(apt getinstallautopsy) RecuperandoDadosApagadoscomLinux::RicardoKléber
Demonstração RecuperaçãodeDadoscomAutopsy RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) Concorrentes doautopsy www.pyflag.net pyflag Desenvolvidoinicialmentepelapolíciaaustraliana Linguagemdedesenvolvimento:Python Py=Python FLAG=ForensicandLogAnalysisGUI AceitaimagenssplitraweExpertWitness(.E01) RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) Concorrentes doautopsy www.pyflag.net pyflag RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) Concorrentes doautopsy ptk.dflabs.com PTK OutrainterfacegráficaparaoSleuthKit MaisrecursosqueAutopsy,mas,dependênciadebancodedados inviabiizausovialivecd RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) Concorrentes doautopsy ptk.dflabs.com RecuperandoDadosApagadoscomLinux::RicardoKléber
RecuperaçãodeDados(AlémdoDataCarving) Concorrentes doautopsy ptk.dflabs.com RecuperandoDadosApagadoscomLinux::RicardoKléber
ÉSóPendrive? Oquepodeseranalisado/recuperado OqueColetar/Analisar? Mídias Hds,pendrives,cds,dvds... Dispositivosnãoconvencionais Câmerasdigitais,óculos/relógios/pulseiras... (comdispositivosdearmazenamento). Dadostrafegandonarede Eminvestigaçõesdetráfegodeinformações Tambémcomequipamentosligados Dadosemmemória Emanálisescomequipamentosligados RecuperandoDadosApagadoscomLinux::RicardoKléber
TemcomoGarantirqueoDadoNãovaiSerRecuperado? Esterilização(Wipe) Aformataçãodemídias(lógicae/ou fisicamente)nãogarantemuma deleçãoseguradosdados. Paragarantiraimpossibilidadede recuperaçãodearquivosarmazenados emumamídiadeve seutilizartécnicas parasobrescreveraregiãoemque anteshaviamosdados. Paraisso,utilizam sevalorespseudo aleatóriosassociadosàescrita sucessivadepadrões. Aessastécnicasdá seonome dewipe(esterilizaçãodemídias) RecuperandoDadosApagadoscomLinux::RicardoKléber
TemcomoGarantirqueoDadoNãovaiSerRecuperado? EsterilizaçãodeMídias(Wipe) Esterilizaçãousandowipe Esterilizandopartição1dosegundodispositivo(sdb1) wipe -q /dev/sdb1 -q=quatropassosrandômicos Esterilizandoconteúdodediretório wipe -rcf /home/usuario1/segredo/ RecuperandoDadosApagadoscomLinux::RicardoKléber
Perguntas RecuperandoDadosApagadoscomLinux::RicardoKléber