I Frum de Computao Forense do IFRN

Forense computacional emLinuxfor dummies

umarpidaviso introdutria
Natal,RN,23deoutubrode2010

JooEribertoMotaFilho

Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Oqueforensecomputacional?
Forensecomputacionalacinciavoltadaparaa obteno,preservaoedocumentaodeevidn cias,apartirdedispositivosdearmazenagemele trnicadigital,comocomputadores,pagers,PDAs, cmerasdigitais,telefonescelularesevriosoutros dispositivosdearmazenamentoemmemria.Tudo deverserfeitoparapreservarovalorcomproba triodasevidnciaseparaassegurarqueistopossa serutilizadoemprocedimentoslegais.
(An introduction to Computer Forensics, Information Security and Forensics Society, abr. 04, disponvel em http://www.isfs.org.hk/publications/public.htm)

Eribertoout.10

Oqueforensecomputacional?
Ento... Aforensecomputacionalbusca,emdispositivosde armazenamento,evidnciasdeaesincompatveis, danosasoucriminosas. Taisaespodemserlocaisouremotas(viarede). Geralmente,ascitadasaesestorelacionadasaroubode informaes,fraudes,pedofilia,defacements,intrusese crimescibernticosemgeral.

Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Ataquesviarede:oquefazer?
Emumrazovelnmerodevezes,forensessoconduzidas emvirtudedeataquesremotos(viarede). Apsumataqueremoto:
>Desconecte,imediatamente,ocaboderede. >NUNCAdesligueamquina(considerandoqueoatacanteno otenhafeitoremotamente). >Notoquenamquina(nemmesmofaalogin). >Chame,imediatamente,umperitopararealizaraforense. >Acompanhe,sepossvel,todootrabalhodoperito.

Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Medidasiniciaisnasforenses
Aotomaroprimeirocontatocomamquinaatacada,casoa mesmaaindaestejaligada,operitodever: InserirumpendriveouHDexternomaiordoquea quantidadedeRAMdamquinaparacolherdados. LogarcomorootemontarodispositivoUSB(/mnt?). Gravarnodispositivoexternoosseguintesdados:
>Umdumpdememria,com#ddif=/dev/fmem of=/mnt/memoria.dd(estatemqueseraprimeiraaousar fmem,doprojetoforiana,emkernelsmaisrecentes). >Usurioslogados,com#w>/mnt/w. >Ohistricodecomandos,com#history>/mnt/history. >Asituaodememria,com#freem>/mnt/free. continua... Eribertoout.10

Medidasiniciaisnasforenses
continuando... >Osprocessosativos,com#psaux>/mnt/ps. >Ospossveisprocessosocultos,com#unhide[proc/sys/brute] >/mnt/unhide.[proc/sys/brute]. >AspossveisportasTCP/UDPocultas,com#unhidetcp> /mnt/unhide.tcp. >Otempodevidadamquina,com#uptime>/mnt/uptime. >Asconexeseportasabertas,com#netstattunap> /mnt/netstat. >Arelaodepacotesinstalados.NoDebianederivados,pode seusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHat hocomando#rpmqa>/mnt/pacotes. continua... Eribertoout.10

Medidasiniciaisnasforenses
continuando... >Dataehoradamquina,com#date>/mnt/date.Anotea horadoseurelgionestemomento,paraumacomparao futura.Adefasagemencontradadeverconstarnolaudo. >Utilizaodediscos,com#dfhT>/mnt/df >Osdetalhessobredispositivosmontados,com#mount> /mnt/mount. >Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk. >Okernelutilizado,com#unamea>/mnt/uname. >Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig. >Asrotasderede,com#routen>/mnt/route. continua... Eribertoout.10

Medidasiniciaisnasforenses
continuando... >Osmdulosdekernelcarregados,com#lsmod> /mnt/lsmod.

Desmontareremoverodispositivoexterno(pendriveou HDexterno). Verificar,emoutramquina,serealmentefoigravadotodo ocontedonecessrionodispositivoexterno. Desligaramquinasempermitirqueamesmagravedados nodisco.Paraisso,puxeocabodeenergiadatomadasem desligaramquinadeformaconvencional.

Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Criaodaimagemdamdiaatacada
Todootrabalhodeforensedeverserrealizadoemuma cpiadamdiaatacada(imagem). Paracriaraimagem: AdicionarumHDdecapacidademaiordoqueoda mquinaatacada. InicializaramquinaatacadacomumliveCDvoltadopara forenseoupendrivecomLinux.CUIDADO!LiveCDsno apropriadosusamreasdeswapencontradasnodiscoe montammdiasautomaticamente. MontarapenasapartiodoHDadicional(aqueir receberasimagens). CriarumaimagemdoHDcomprometido,porinteiro,no novoHD.
Eribertoout.10

Criaodaimagemdamdiaatacada
ApsacriaodaimagemdoHD,calculardoishashesde taisimagens(pelomenosumdeverserSHA2). Todooprocessodeaberturafsicadamquina comprometida,criaodaimagemeclculodoshashes deverseracompanhadoporduastestemunhas. Aofinaldaoperao,deversergeradoumcertificadode integridade,contendoadata,onomeeoCPFdoperito,das testemunhas,onmerodesriedoHDeoshashesobtidos. Todosdeveroassinarocertificado,queserumdos anexosaolaudopericial. OHDoriginaldeverserlacradonapresenadetodose entregueparaautoridadecompetente.Onmerodoslacres deverconstarnolaudo(ounocertificadodeintegridade).
Eribertoout.10

Criaodaimagemdamdiaatacada
Mdiasdanificadas(HD,pendrive,CDROM)poderotero seucontedoparcialcopiadocomocomandodd_rescue. Issoirgerarumfragmentoauditvelcomferramentas especiais. muitoimportantepreservaraomximoaimagem original.Umaideiatrabalhartodootempoemumacpia damesma.

Eribertoout.10

Criaodaimagemdamdiaatacada
Exemplodecriaodeimagens: HDcomprometido:/dev/sda. 2HD:possuiumanicapartio,a/dev/sdb1. Criaodasimagens(/dev/sdb1montadoem/mnt):
#ddif=/dev/sdaof=/mnt/sda.dd

Odcflddumaexcelentealternativaaodd. Dentreoutraspossibilidades,odcflddexibeoandamento daoperaoecalculahashesemtemporeal.Exemplo:

#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256 md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256

Eribertoout.10

Criaodaimagemdamdiaatacada
Comparativo(usandocomobaseumpendrivede2GBem umnetbookAtom):
*dd+md5sum+sha256sum=7min23seg(sodd:5'03''). *dcfldd,calculandooshashes=5min04seg.

Exemplodesadaemtela:

Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Utilizaodaimagemdamdiaatacada
Osarquivosdeimagens(completooudasparties) poderoseranalisadosdiretamenteoumontadosemoutra mquina(somenteasparties,excetoseforswap). Asimagensdaspartiesdeverosermontadascomoloop (porserarquivo)ereadonly(paranoalterarocontedo). Exemplos:
#mountoloop,rosda1.img/forense ou #mountoloop,ro,offset=32256sda.img/forense

Arquivosdeswapsoextensodamemriaenopossuem filesystem.Ento,seroanalisadossemmontagem(no possvelmontlos).

Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Oquebuscarnaanlise
Inicieaforenseouvindoosfatosparatentardeduziralgo relevantequeleveseleodeumpontoinicial.Exemplo: emdefacements,comearpelaanlisedo/var/www. Analiseoslogs. Analiseamemria,oswapeosdiretrios/tmpe/var/tmp. Analiseodiretrio/home. Analiseodiretrio/etc. Procureporrastrosdoseuoponente. Busqueporrootkitsebackdoors. Verifiqueseosistemaoperacionalestavaatualizado. Busquesenhasearquivosdentrodaimagemdamemria.
Eribertoout.10

Oquebuscarnaanlise
Busque,emimagens,porarquivosrelevantesapagados, combaseempalavraschave. ArquivosdeMSOfficeeBrOffice.Orgsuspeitosdevemser analisadosprofundamente.Comecepelaspropriedadesdos mesmos.TambmvlidoparaPDFs. FigurasJPGpossuemdadosEXIF.Issoimportante!Analise tambmaspropriedadesdequalquerfigura. Figuraspodemconteresteganografia.Arquivospodemestar criptografados.Vocpoderdescobrirsenhaspor engenhariasocialouanlisedememria! Sejainteligente,criativoeperseverante.Tenhaavontade devenceroseuoponente!
Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Algunscomandoseferramentas
Instaleosleuthkit(noDebian,#aptgetinstallsleuthkit; paravercomandos:#dpkgLsleuthkit|grep/usr/bin). Useeabusede#lslua,#lsltae#stat<arquivo>. Garimpeimagensearquivoscomstrings+grep.O comandostrings,noDebian,estnopacotebinutils. Procureporrootkitscomchkrootkiterkhunter.Exemplos:
#chkrootkitr/forense #rkhunterupdate;rkhuntercr/forense

Procureporwormscomoclamscan(#aptgetinstall clamav).Exemplo:
#freshclam;clamscanr/forense Eribertoout.10

Algunscomandoseferramentas
Utilizeocomandofindparaprocurarporarquivoscriados oumodificadosnosltimos2dias.Exemplo:
#find/forense/mtime2print

Utilizefls+icatpararecuperararquivosapagadosem filesystems.Exemplo:
#flsFdro63sda.img #icato63sda.img75>teste.jpg

Utilizeoscomandosmagicrescueeforemostparabuscar arquivosemimagensdemdiasformatadas,corrompidas ouemfragmentosdeimagens.Comaopoa,oforemost recuperaarquivosdanificados(edfalsospositivos).

Eribertoout.10

Algunscomandoseferramentas
Utilizehexdumpehexeditparaacessarcontedos, exibindoosemhexadecimalouASCII(mesmoem fragmentos).ParaASCIIpuro,utilizeomcview. Utilizeosprogramasgwenview,pornviewegimpparaabrir imagens,inclusivedanificadas. Paraverdadosexif,utilizemetacam. Utilizeocomandofileparavercaractersticasdeimagens dedispositivos,fotos,documentosdoofficeeexecutveis. okular(KDE)eevince(Gnome)podemserutilizadospara vercontedosdiversos.

Eribertoout.10

Algunscomandoseferramentas
Utilizeooofficeparaabrireinvestigardocumentosdotipo office. Estudemuito!!!(aptcachesearchforensic). DEMONSTRAO.

Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Laudodapercia
Nohummodeloespecficoparalaudoourelatriode forense.difcilencontrarummodelonaInternet. Algunsdadosinteressantesparaacomposiodolaudo:
>Dadospessoaisdoperito. >Perododarealizaodaforense. >Breverelatodoocorrido(notciasiniciais). >Dadosgeraissobreamquinae/ousistemaatacado(nomeda mquina,portasabertas,partiesexistentesetc). >Detalhamentodosprocedimentosrealizados. >Dadosefatosrelevantesencontrados. >Conclusoerecomendaes. >Apndiceseanexos.(incluircertificadodeintegridade) Eribertoout.10

Sumrio
Oqueforensecomputacional? Ataquesviarede:oquefazer? Medidasiniciaisnasforenses Criaodaimagemdamdiaatacada Utilizaodaimagemdamdiaatacada Oquebuscarnaanlise Algunscomandoseferramentas Laudodapercia Concluso

Eribertoout.10

Concluso
Aperciaforensebuscaencontrardadosrelevantes,em meiosdearmazenagemdigital,comointuitodelevantar provassobreumfato(geralmenteumcrimedigital). Umperitoforensedeveconhecerprofundamenteosistema operacionalqueeleirinvestigar.Casonooconhea, podersolicitarumauxiliartcnico. Aastciaeacriatividadesoessenciaisemqualquer investigao.Tenhaavontadedevenceroseuoponente.

Estapalestraestdisponvelem http://www.eriberto.pro.br/forense
Sigameemhttp://twitter.com/eribertomota

Eribertoout.10