Professional Documents
Culture Documents
Aviso
Este material foi desenvolvido como o objetivo de ser um apoio no estudo da disciplina de Segurana de Redes Linux/Unix utilizando ferramentas FOSS (Free and Open Source Software), mas em momento algum uma referncia definitiva, dessa forma as bibliografias indicadas so base para uma formao solida e coesa. Sendo relevante destacar que o Modelo Software Livre tem como princpio a segurana fundamentada na transparncia do cdigo aberto que pode ser auditado e questionado a qualquer momento. Cdigos fruto de pesquisa que na sua maioria so oriundos em
O que ?
Forense Digital / Computao Forense / Percia Forense: Pode ser considerado uma extenso da Cincia da Computao relativamente recente no campo da segurana digital destinada a apoio a rea criminal. Investigao digital X Investigao forense digital.
Forense Digital?
No dicionrio Aurlio a palavra forense est definida com relativo ao foro judicial Foro lugar onde funcionam os rgos do poder judicirio; tribunal. Investigao por sua vez est definida seguir os vestgios de; pesquisar; examinar com ateno.
Percia Digital?
Brian Carrier, File System Forensic Analysis: Investigao digital um processo onde uma hiptese desenvolvida e testada para responder algumas questes respeito de uma ocorrncia digital. Suportam ou apresentada. desmentem a hiptese
O American Heritage Dictionary define forensic como algo relacionado com o uso da cincia ou tecnologia em uma investigao. Estabelecimento de fatos ou evidncias que podem ser levados a um julgamento
A principal diferena entre a investigao digital e a forense digital a parte legal. A Forense Digital mais restritiva do que a investigao digital e segue metodologia objetivando usar o que for apudaro como prova legal. Obs.: fato que um administrador capacitado prefere usar todo o ritual de uma Percia Forense para responder a qualquer incidente mesmo que a princpio no demande formalizao de provas para uma ao legal.
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-9
Com o grande nmero de crimes por meio eletrnico sendo eles em sua maioria via Internet, demandar em poucos anos, que todos os casos de justia venham necessitar da figura de um perito Computacional Forense, para: Demitir ou quebrar contrato; Provar fatos; Leis de privacidade; Ajudar na recuperao dos dados; Combater Pornografia Infantil; Fraudes (Financeiras);
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-10
Identificao de Espionagem Industrial; Violao de polticas de uma Corporao; Honey-pots (Aprendendo com o Modus Operandi); Resposta a incidente de Segurana; Importante: relevante destacar que a eficincia dos profissionais na Resposta a Incidente quando so devidamente capacitados em Percia Forense superior a de um profissional que possui habilidade apenas inerente a Segurana.
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-11
Princpio de Locard
Qualquer um ou qualquer coisa que entrar em um cenrio onde ocorreu algum crime, leva alguma coisa do local com ele e deixa alguma coisa dele no local quando sai do mesmo.
Tipos de Profissionais
Em um ambiente de uma rede, a trade que faz a segurana computacional:
Verificao de vulnerabilidades (Grupo 1) Gerenciamento do risco (Grupo-1) Testes de Segurana (Grupo-1) Deteco de Invasores na Rede (Grupo-2) Administrao da Segurana dos Ativos (Grupo -2) Resposta a Incidentes (Grupo-3) Investigao Computacional (Grupo-3)
Testa e verifica a integridade das estaes de trabalho e dos servidores de rede. Segurana Fsica dos sistemas, dos sistemas operacionais e das aplicaes. Realizao de Teste de Segurana para validar a infra estrutura de redes
Grupo-2 (Administradores):
Detecta ataques Usa ferramentas automticas ou processos manuais para monitoramento e leitura de logs Grupo de resposta localiza, identifica e impede que o atacante continue a causar prejuzo
Trabalha com os dados gerados pelos outros 2 grupos. Completa o caso com a busca de evidncias Principalmente se os prejuzos forem grandes.
Forense e Segurana
Diferente de todas as outras reas da segurana; Muita ateno s leis; Voc pode us-la para proteger a sua organizao; A cada momento percebido que Incidentes de Segurana Computacional esto cada vez mais relacionados a crimes. O Servidor da empresa pode ser invadido e ter sua pgina trocada como tambm pode ser invadido para ser transformado em um repositrio de pginas forjadas de bancos para colher senhas de correntistas!
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-17
Linux e FOSS
Notoriamente os Sistemas Operacionais LINUX e FreeBSD so as melhores opes para um Perito Forense mesmo para realizao de Percia Forense em Microsoft Windows:
Fala vrias lnguas (suporte a vrios FileSystems); No monta os discos e no mexe nas evidncias; Inmeras ferramentas Forense FOSS Open Source Software); (Free and
Existe a possibilidade de usar recursos de virtualizao para criar ambiente para Anlise dinamica ou mesmo especfica de artefados onde o Perito ter total controle sobre os eventos.
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-18
No Campo de Batalha quando o pior j aconteceu o que nos resta a reatividade da Resposta aos Incidentes
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-19
Caracterizando um Incidente No necessariamente um incidente que motive uma ao de um Perito Forense Computacional uma invaso de Sistemas. Entretanto quando uma invaso a um servidor ocorrer a Pricia Forense torna-se uma habilidade importante para quem vai atuar na Resposta a Incidente. O conhecimento sobre o Modus Operandi dos invasores tambm um informao relevante no campo de batalha.
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-20
Olhando a partir de uma tica Forense podemos assumir que essas etapas so passves de gerao de logs, nos servidores, nos IDS e se a segurana de Permetro foi bem planejda haver rplica de logs em um servidor de logs remoto.
Todas essas atividades so passiveis de gerao de registro dos respectivos eventos (logs), todavia isso depender de como foi realizada a implementao dos servios em questo. O que seria tambm artefatos para uma percia Forense. Servios de Rede. Aplicaes Web. Escala de Privilgio (Ganhando Acesso a Shell).
Nvel de Refinamento
Nvel de Refinamento
Reconhecimento dos recursos do Sistema. Instalao de Backdoors / Trojans Rootkit. Limpeza de Rastros. Retorno por uma Backdoor.
Tcnicas de Cleanlogs Instalaao de Malware que use Criptografia Tcnicas Anti-Forense no Sistema de Arquivo
Nvel de Refinamento
Resposta a Incidentes
Em redes grandes, pequenos Incidentes como varreduras so constantes e outras atividades de Script Kiddies! Por outro lado quando o potencial invasor buscar violar a segurana buscando ganhar acesso de alguma forma hora de agir. Inicialmente foca na verificao do incidente Tcnicas que enfatizam a coleta de evidncias:
Preocupao maior na recuperao rpida Ter a preocupao de fazer uma triagem no incidente
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-27
Preparao pr-incidente
Deteco
Resposta Inicial
Estratgia de reao
Relatrio Final
Preparao pr-incidente
Deteco
Resposta Inicial
Estratgia de reao
Erros comuns
A falta de habilidade durante a Resposta a um Incidente, poder motivar a falhar que podero at mesmo desqualificar as evidncias. Vide alguns exemplos: Introduzir dados no sistema; Matar processo no sistema; Alterar o timestamp; Usar comandos e ferramentas no confiveis; Tentar aplicar correes no sistema antes de arrecadar as evidncias; Obs.: Muito desses erros so cometidos pela simples falta de habilidades de Percia Forense Computacional.
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-32
Conceituando
Podemos dividir a partir de um ponto de vista macro o processo de Percia Forense em quatro etapas: Aquisio Identificao Avaliao Apresentao
Conceituando
Aquisio Identificao Avaliao Apresentao
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-35
AQUISIO
Consiste em reunir o mximo possvel de provas (artefatos a serem analisados). E a fase inicial do processo. Para que tenhamos sucesso em todos os processos de uma anlise pericial, o momento da aquisio de provas torna-se fundamental. Diante disso, o perito tem que ter uma metodologia clara e objetiva de coleta de dados.
IDENTIFICAO
Consiste na anlise encontrados. percial dos artefatos
Ser claro e metdico durante o processo de identificao de cada artefato digital (trojan, backdoors, rootkits). A documentao clara de cada artefato identificado ser cruxial para a elaborao do laudo pericial.
Avaliao
Esse ponto o objetivo principal de um perito computacional. Ser a anlise de artefatos e enumerao de eventos de dentro de uma linha de tempo. Tarefa dficil de dimencionar em horas pois cada Percia Forense embora possa ser executado utilizando um ferramental e metodologia em comum, nica diante do contexto de como ocorreu o incidente.
Apresentao
Apresentar um relatrio de tudo que foi encontrado, e se possvel tentar identificar o Modus Operandi do potencial atacante. Enumera possvel origem do ataque. No cabe ao Perito (Computacional) definir o culpado, mas as informaes por ele enumeradas ,sero ferramentas para esse propsito.
Original deve ser apresentado como prova; Cpias, testemunhos, somente se no estiver disponvel o original; Em um sistema os dados apresentados de forma precisa; devem ser
4 Princpios Forenses
(1) Minimizar perda de dados (2) Registrar tudo (3) Analisar todas as evidncias coletadas (4) Relatar tudo que encontrar
Metodologia Forense
(1) Verificao (host / rede) (2) Descrio do sistema (3) Coleta de evidncias (logs, arquivos e imagens (4) Criao e anlise de um timeline (5) Anlise focada no tipo de Sistema Operacional (6) Recuperao dos dados (7) Busca por palavras (8) Relatrio
Definies Importantes Evidncia Melhor Evidncia Intergridade da Evidncia Cadeia de Custdia Anlise das mdias Imagens Lista de palavras procuradas
Evidncia Digital
A Percia Forense requer a combinao de tcnicas de investigao com as exigncias das leis e normas de cada instituio somando-se tambm a habilidade tcnica para sua execuo. Poucos investigadores possuem uma idia clara sobre evidncia, tecnologia envolvida e problemas legais relacionadas com as evidncias digitais o que motiva erros que acabam por comprometer as evidncias levantadas quanto a sua intergridade.
Evidncia Digital
Busca-se alguma coisa que estabelece ou desmente um fato como verdade em um ou mais computadores e seus perifricos. Que tamanho poder uma Evidncia Digital? 4 bytes Nmero IP em hex Isto mostra o desafio que tem um Perito Forense, pois ter em muitos momentos diante de si um volume muito grande de dados para analisar e identificar as evidncias.
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-47
Evidncia Digital
Vantagens da Evidncia Digital: Pode ser duplicada exatamente como o original; Pode ser examinada como o original; Pode ser verificada se a evidncia digital foi alterada; Pode-se ter vrias cpias. Possibilita ao Perito Computacional Forense em muitos momento reproduzir o ocorrido com qualidade.
Evidncia Digital
No caso o computador esteja ligado, deve-se retirar o mximo de informao possvel da memria RAM do computador; O computador deve ser desligado aps a coleta das Evidncias e guardado em lugar seguro; Uma cpia da evidncia digital do HD deve ser realizada. Lei da coleta e da preservao da evidncia digital: Sempre faa duas cpias de todas as evidncias digital e faa HASH de tudo
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-49
Intergridade da Evidncia
Certificar que a evidncia no foi alterada; Clone (bit a bit); Local reservado; Uso de algoritmos de hash para garantir a integridade do original e do clone;
Intergridade da Evidncia
O uso de HASH regra sempre que uma evidncia digital for coletada e apresentada No reversvel; Arquivos diferentes geram hashes diferentes mesmo no caso de MD5 que pode permitir dentro de cenrio ideal similaridade com vriao de 8 bits; Faa mais de um HASH, use MD5 e SHA1 no mnimo;
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-51
Desafios
Todo hardware possui uma quantidade de evidncias muito grande; Deve-se examindo em ambiente controlado; Sempre que possvel o Computador e demais perifricos devem ser confiscado; No caso de um servidor existe o desafio de Interrompe a tarefa do mesmo por muito tempo;
Desafios
Para anlise' demandado Laboratrio com hardware e software especiais; Demanda capacidade tcnica do Perito;
Forense S.O.
A expertise no Sistema Operacional onde o Perito vai realizar a coleta de evidncia um fator critico de sucesso, pois o nvel de comprometimento do sistema pode torna a coleta de informaes volteis imprecisa. O Perito dever ter a viso do sistema alvo tanto da informaes que buscar na Userland como tambm informaes mais especificas relacionadas com a comunicao da Kernel Space e a Userland.
Coleta de Evidncia
Obter dados pertinentes Obter dados volteis Processos Memria Conexes de rede Obter uma imagem forense
Coleta de Dados
A documentao mostrando a evidncia no seu estado original uma prtica para mostrar que a mesma autntica e se mantem inalterada; Nmero de srie, fabricante do disco rgido, capacidade do HD. Fotos Digitais, (Filmagens), testemunhas, anotaes detalhadas, tais como: Data-hora do computador; Quem est fazendo a cpia; O programa ou comando usado para copiar os arquivos;
Tempo de Vida
Nvel Volatilidade
Trs Situaes
Post Mortem Analysis - Sistema morto:
Fora desligada Sistema computacional no atuante HD, Floppy, CD-Roms
Forense In Vivo
Forense de Rede
Cruzamento de Dados
Tempo de Vida
Nvel Volatilidade
Evidncia Voltil
Destrudos se a energia for cortada: Memria Conexes de rede Processos que estavam rodando Tambm contm informaes volteis: HD Espao de swap Mdia removvel
Informaes Volteis
Ateno: Para realizao da coleta de evidncias de informaes volteis o Perito Forense deve ter em mente da possibilidade do comprometimento do sistema ao ponto de qualquer system call que venha a ser executada poderia ser interceptada e manipulada.
Todavia existe a possibilidade do comprometimento ter sido somente na Userland ou mesmo na Kernel Space de forma amadora.
Coleta de Volteis
Em quaisquer dos cenrios demanda-se o uso de ferramental compilado estaticamente para realizao da tarefa. Algumas pacotes importantes:
Outros Ativos
Como ter certeza que alguma ao maliciosa aconteceu e a coleta informao de um servidor em questo fundamental. Todavia a correlao de informao com outras fontes como dos ativos da rede e da equipe de Segurana ser fundamental. Dessa forma o Perito Forense deve buscar informao tambm em: IDS logs Firewall logs Entrevistas e-mails, admin da rede, usurios, ISP, etc...
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-67
Dificuldades na verificao Alguns desafios durante a coleta podero surgir, cabe ao Perito Forense engenhosidade para resolver. Maiores obstculos no Incident Handling: Mquinas crticas; Grande capacidade dos HD, dispositivos, etc; Impossibilidade de desligar a mquina; Sistema Operacional no qual o Perito no tem habilidade;
Cuidados na verificao
Durante a coleta deve-se evitar a presena de muitas pessoas no ambiente; A falta de uma poltica de incidentes a ser seguida por motivar administradores com pouca experincia a cometer aes que possam comprometer as evidncias; O administrador em a alguns casos pode ser o pior inimigo pois a tendncia do mesmo tentar cobrir furos na segurana, tentar voltar backup;
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-69
Desconectar da rede?
Quando possvel desconectar da rede aps coleta de dados significativos das atividades de rede atuais e conectar em um hub sem conexo com a rede; Caso no tiver na rede vo escrever msg de erro no arquivo de log; Tentar enganar o computador que acha que ainda est conectado na rede objetivando captura atividades de redes relacionadas com o incidente;
Cadeia de Custdia
Registra como e por quem a evidncia foi manuseada Deve haver continuidade Prova da integridade no masueio da evidncia
Timeline
Realizar uma anlise dos horrios dos arquivos: MAC time (Modified, Accessed, Created/changed) Quando o sistema operacional foi instalado Quando a maioria das atualizaes foram realizadas Quando o sistema foi utilizado pela ltima vez Incluir qualquer outro detalhe que possa estar relacionado com a utilizao do sistema
Anlise da Mdia
Examinar a mdia com uma ferramenta escolhida pelo perito; Descrever o sistema analisado em detalhes; Descrever cada ferramenta utilizada; Descrever porque da utilizao da ferramenta; Mostrar como a ferramenta utilizada no alterou a evidncia;
Anlise da Mdia
Examinar o sistema de arquivo em busca de alterao no programa ou configurao do Sistema Operacional; Examinar o sistema em busca de backdoor (arquivos setuid e setgid); Examinar no sistema de arquivo sinais de utilizao de sniffers, rootkits; Arquivos history de Internet e outros; Sistema de registros ou /proc; Examinar os arquivos de inicializao e os processos;
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-77
Strings Chaves
A busca de informaes durante a Post Mortem Analise demanda sutileza e bons conhecimentos de Regex so fundamentais para usar o poder de ferramentas como grep, egrep, awk. Lista das palavras (strings chaves); Palavras chaves especficas para o caso; Devido ao dinamismo, registrar as novas palavras; Utilizar a lista de palavras chaves e examinar a evidncia no baixo nvel (bit-a-bit);
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-78
Recuperao de dados
Recuperar arquivos ou dados nos slacks; Identificar quando os arquivos foram deletados; Recuperar arquivos pertinentes; Identificar arquivos criptografados; Identificar arquivos esteganografados; Descrever os mtodos utilizandos detalhadamente; no relatrio Percial;
Relatrio
Momento final na Percia Forense, quando Perito dever compor seu laudo sobre todos os procedimentos utilizados e informaes correlacionadas acerda do caso. Baseando-se totalmente na anlise realizada: Evidncias que Evidncias que Tudo que pode Tudo que pode comprovem a hiptese; desmintam a hiptese; ser usado posteriormente em um foro; ser explorado pelo outro lado;
Resumo da Metodologia
Todos os casos seguiro a mesma metodologia Depende do tipo de invaso? Depende do tipo de crime/investigao? Mesmo mtodo / diferentes ferramentas Depende do Sistema Operacional? Depende do sistema de arquivo?
CATCH-22
Catch-22 Segundo a Wikipedia (en.wikipedia.org) entre outras coisas tambm significa um momento crtico de uma operao burocrtica e de raciocnio. Foi catch-22 introduzida como uma regra militar para impedi que qualquer um evite misses de combate em um momento de crise.
Tudo que se fizer no sistema ir alter-lo de alguma forma. Qualquer ao ir modificar o sistema Desligar a mquina? Deix-la ligada e conectada? Fazer um backup? Desconectar da rede?
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-82
Shutdown limpo?
Shutdowns limpos modificam o disco do sistema e a memria O mesmo pode colocar o Perito em um situao ainda mais dificil pois muito comum invasores de sistema deixarem bombas para serem acionadas no momento do Shutdown do sistema ou na nova inicializao.
Pode-se agora mover o sistema para um lugar mais seguro Pode mover o HD Perde-se evidncias de todos os processos e da memria No se pode escutar o trfego entre o atacante e a mquina
Bibliografia / Links
Melo, Sandro, Computao Forense com Software Livre, Ed. Altabooks, 2008 FREITAS, Andrey, Percia Forense Aplicada Informtica, Ed. Brasport, 2006 LEE, Rob, System Forensics, Investigation & Response, SANS Institute, 2005 MONTEIRO, Valter, Notas de Aulas - Curso de Investigao Forense Digital, 2006 Sleuthkit Informer (www.sleuthlit.org) Computer Forensic Tool Testinf (CFTT) Linux Forensic Group Grupo Forense Computacional (Yahoo Groups) www.cybercrime.gov