EDITORIAL

Amigos, Nesta edio continuamos a falar sobre Esteganografia, mas desta vez sobre compara es entre as ferramentas existentes no mercado, um timo artigo que vale a pena conferir. Um outro artigo interessante sobre o vocabulrio dos peritos, por exemplo, voc sabe me dizer o que cadeia de custdia ? ou, anlise ao vivo ? Agora voc vai saber. Relacionei tambm nesta edio alguns eventos e cursos sobre Percia Forense e Segurana da Informao, como a V Jornada Nacional de Seguridad Infomtica, que ser realizado na Colmbia. Agora imagine que o seu computador foi in vadido, voc sabe exatamente onde procurar provas ? Nesta edio trouxemos algumas dicas pra voc. Gostaria de a gradecer a todos os colaboradores que enviaram seus artigos para a concluso desta quarta edio e aos participantes do grupo Percia Forense Aplicada Informtica. Estou ao seu dispor para ouvir seus comentrios e sugestes ! Boa leitura a todos ! Andrey Rodrigues de Freitas
Editor da Revista Evidncia Digital

Editor Chefe Andrey R. Freitas

Editor Tcnico Andrey R. Freitas

Colaboradores desta edio Andrey R. Freitas Jeimy J. Cano Laura C. M. Coelho Leonardo Cunha Mrio C. P. Peixoto Paulo Barbosa Renato M. S. O. Blum Ricardo J. Bento Taysa E. Cardoso

Artigos Se voc deseja escrever artigos para a Revista Evidncia Digital envie um e-mail para periciaforense@yahoo.com.br

Atendimento ao leitor E-mail: periciaforense@yahoo.com.br

Site http://www.guiatecnico.com.br/EvidenciaDigital

Grupo de discusso http://br.groups.yahoo.com/group/PericiaForense

A revista Evidncia Digital uma publicao trimestral.

O contedo dos artigos de responsabilidade dos autores.

Evidncia Digital - 2

R EVIST A EV IDNC IA D IGIT AL

http://www.guiatecnico.com.br/EvidenciaDigital

Edio 03

Edio 04

Edio 02

Edio 01

Evidncia Digital - 3

Renato M. S. Opice Blum e Taysa Elias Cardoso

Polticas de Segurana, Privacidade e os Tribunais

Em um passado no muito remoto, as informaes das organizaes eram armazenadas apenas em papel e o patrimnio era mensurado pelos seus bens materiais. Hoje esse cenrio mudou, as informaes so armazenadas em meio eletrnico e o conjunto desses dados o grande patrimnio das empresas. As redes de computadores, em especial a Internet, que conecta milhes de computadores ao redor do mundo, permitem os inegveis benefcios decorrentes do avano tecnolgico. Em contrapartida, h que se considerar os requisitos de segurana que estabelecero os critrios para bom uso e proteo das informaes que trafegam nas redes. A expanso do uso e acesso da internet no local de trabalho traz questes que outrora no eram suscitadas, colocando em discusso direitos personalssimos, impondo modificaes de grande impacto nas relaes de trabalho. Nesse contexto, ganha relevo a questo atinente validade da prova obtida por meio do monitoramento de e-mails pelo empregador, para fins de resciso de contrato de trabalho por exemplo. No Brasil, h controvrsias acerca do monitoramento de correios eletrnicos pelo empregador, excetuando-se os casos de prvia cincia do empregado e de ordem judicial. A cincia do usurio, entretanto, no se restringe a mero ato pro forma, imprescindvel que a implementao das polticas de segurana sejam efetivamente incorporadas cultura da organizao. H respaldo legal para a adoo dessas medidas por parte da empresa, cabendo destacar, dentre elas, que se a estrutura que suporta o acesso e uso da internet de propriedade da empresa, que disponibiliza aos seus funcionrios, dela a responsabilidade pelos atos dos usurios, conforme dispe o artigo 932, inciso III, do Cdigo Civil, em sua novel redao. O poder diretivo do empregador, previsto na Consolidao das Leis do Trabalho, tambm possibilita a prtica do monitoramento pelas empresas. H consenso, entretanto, acerca da imprescindibilidade da cincia ao empregado, que pode ser formalizada no contrato individual de trabalho ou em documento autnomo. Esse consenso salutar, na medida em que descaracteriza eventual expectativa de privacidade (art. 5, X, Constituio Federal). Em geral institudo por meio da poltica de segurana adotada pela empresa, ocasio em que so formalizados os aspectos considerados relevantes e estabelecidos os critrios para proteo, controle e monitoramento dos recursos computacionais, garantindo, conseqentemente, a segurana das informaes manipuladas pelos usurios. A garantia aos direitos individualidade, personalidade, liberdade ou privacidade, no obstante serem constitucionalmente assegurados, no pode ser interpretada de forma absoluta, implicando no desrespeito a outras garantias igualmente relevantes.

Sob este prisma, podemos ento constatar o quo delicada esta questo, que demanda atuao preventiva das empresas, por meio de regulamento de segurana, tendo como foco a tendncia mundial, que caminha rumo conciliao dos direitos fundamentais dos empregados com os direitos de propriedade e direo do empregador.

:: Renato M. S. Opice Blum :: renato@opiceblum.com.br :: Advogado e economista; Professor da FGV, PUC, IBTA/IBMEC,
ITA/CTA (convidado) e outras; rbitro da FGV, da Cmara de Mediao e Arbitragem de So Paulo (FIESP) e do Tribunal Arbitral do Comrcio; Presidente do Conselho de Comrcio Eletrnico da Federao do Comrcio/SP; Fundador e ex-Presidente do Comit de Direito da Tecnologia da Cmara Americana de Comrcio (AMCHAM).

:: Taysa Elias Cardoso :: Advogada; Advocacia consultiva e contenciosa, na rea cvel, com
nfase Direito Eletrnico, tanto na rea preventiva quanto no contencioso, envolvendo Tecnologia da Informao, Comrcio Eletrnico, Crimes em Meio Eletrnico; Professora da Faculdade de Direito Damsio E. de Jesus, Professora do IPEC - Instituto Paulista de Ensino e Cultura.

Evidncia Digital - 4

Evidncia Digital - 5

Andrey R. Freitas

Terminologia Pericial
Mdia de provas O suporte original (disco rgido) que precisa ser investigado, seja o sistema de um suspeito ou a vtima de um ataque. Cadeia de custdia O Perito deve se preocupar em registrar quem teve acesso as provas. A maneira mais simples manter uma lista detalhada dos indivduos que tiveram algum material apreendido sob seu poder, desde a apreenso at a devoluo. Entre as informaes relevantes que merecem ser anotadas esto a data e a hora da ao, a quem a pertencia o material ou quem forneceu, local da apreenso, descrio completa do material, de quem as provas foram recebidas (com data), a quem foram entregues (com data) e outras informaes peculiares ao caso. Exame em local o exame realizado em espaos fsicos, tradicional na criminalstica. Os vestgios que se destacam podem ser materiais de informtica ou objetos correlacionados, a exemplo de cadernos de notas com senhas. No devem ser desconsideradas as observaes convencionais, como a descrio dos ambientes atravs de croquis, uso de fotografias ou localizao das reas e quais pessoas as utilizam preferencialmente.

Mdia de destino O suporte no qual a mdia de provas duplicada. Em outras palavras, a imagem pericial de uma unidade de provas transferida mdia de destino.

Imagem restaurada Cpia da imagem pericial devolvida a sua forma original, inicializvel.

Sistema operacional nativo Sistema operacional usado quando a mdia de provas (ou a duplicao pericial) inicializada para anlise.

Anlise ao vivo A anlise feita quanto esto se tomando medidas de investigao (pesquisando ou acessando arquivos, examinando logs, etc.) com a mdia de provas em funcionamento.

Anlise off-line Anlise feita quando se examina a mdia de provas ou a duplicao pericial em um disquete de inicializao controlada ou outro sistema. A mdia de provas e a imagem restaurada no so o suporte primrio usado durante o processo de inicializao.

:: Andrey R. Freitas :: periciaforense@yahoo.com.br :: editor da Revista Evidncia Digital e Moderador do grupo

Percia Forense Aplicada Informtica.

Evidncia Digital - 6

Paulo Barbosa

Fraudes OnLine
Os antigos golpes que cir culam na Web e causam grandes prejuzos
Na autobiografia Prenda-me se for Capaz, que inspirou Steven Spielberg a dirigir sua adaptao para as telas, so narradas as estrias de Frank Abagnale Jr., um dos maiores golpistas da histria mundial e que, aos 16 anos e sem dispor de muitos recursos financeiros, iniciou sua trajetria forjando identidades e obtendo vantagens a partir delas. Para alcanar seus objetivos, uma das identidades assumidas foi a de piloto da Pan Am. Para tanto, forjou documentos, providenciou um uniforme de piloto e aprendeu os termos comumente utilizados pelos profissionais de aviao. Sem nunca ter pilotado uma aeronave ou freqentado aulas preparatrias, Abagnale viajou pelo mundo de graa, usando os privilgios de passagens para pilotos, e realizou diversos golpes atravs desta identidade fictcia e de uma boa dose de engenharia social. Nesta e em diversas outras situaes semelhantes podemos notar a presena de uma constante fundamental: a criao de um contexto de familiarizao, criando um lao de confiana - tornando o personagem confivel, quase real. Tudo acontecia baseando-se na crena humana em esteretipos: o piloto vestindo seu uniforme e usando a linguagem que o caracteriza, o mdico em seu jaleco, diploma na parede do consultrio e dizendo os termos prprios dos profissionais da medicina. No lhe parece convincente que pessoas com essas caractersticas sejam realmente quem dizem ser? Essa a essncia da fraude. As situaes descritas no livro ocorreram na distante dcada de 60, porm os padres de comportamento das pessoas se mantm nos dias de hoje, onde realizar uma fraude tornou-se muito mais fcil. Basta enviar um e-mail. Para tanto, um dos meios copiar alguns elementos grficos da empresa a ser fraudada (geralmente encontra-se material suficiente no prprio site da empresa), reunir alguns termos utilizados por esta, estar atento a novas promoes e demais eventos e organizar isso em um site um clone do original. Este geralmente enviado por e-mail para milhares de pessoas, em um universo onde algumas dessas realmente utilizam os servios ou realizaram algum tipo de atividade atravs da empresa vitimada, gerando a sensao de legitimidade ao usurio. Com o contexto criado, o usurio induzido a instalar um software em seu computador, sem imaginar que a sua real funo a de realizar a captura do que for digitado, possibilitando a obteno senhas e outras informaes. Em outros casos, mensagens convidando o usurio a participar de um negcio de milhes de dlares, solicitam enviar um adiantamento de milhares de dlares para o pagamento do envio do dinheiro. Muitas vezes o golpe ainda mais simples, solicitando diretamente a senha deste usurio em um campo de identificao na prpria mensagem de e-mail, etapa necessria para completar a operao. O roubo de contas bancrias por fraudes atravs de e mail, prtica conhecida como Phishing Scam, j foi responsvel por prejuzos superiores a 100 milhes de reais. E em 2004 esse valor deve ser maior pelo que temos visto nesses primeiros meses. Para piorar o cenrio, at o ms de maio de 2004 foram criados mais vrus de computador do que em todo o ano passado, elevando a possibilidade de computadores comprometidos. Hoje, existem no Brasil cerca de 10 milhes de pessoas que usam servios financeiros via web e cerca de 2,5 milhes que fazem compras online, nmeros que tm aumentado sensivelmente nos ltimos anos. Este o tamanho do risco a que estamos sujeitos. Na verdade o meio digital no criou nenhum novo tipo de fraude, todas elas baseam-se nos conceitos j h muito tempo utilizados. necessrio que os usurios entendam como as fraudes acontecem, como a engenharia social utilizada, e mudem seu comportamento ao usar a Internet. Entre os cuidados necessrios, os seguintes pontos podem ser observados: Grandes organizaes nunca enviam mensagens para seus clientes solicitando informaes como senhas.

Evidncia Digital - 7

No confie cegamente no contedo de um e-mail supostamente enviado por uma instituio. Verifique no prprio site da empresa ou use outros meios de contato para confirmao das informaes. Assim como o contedo do e -mail, no confie no nome do emissor da mensagem. Ele facilmente forjado, alm de ser uma das tcnicas mais utilizadas pelos golpistas para dar credibilidade fraude. Digite o endereo do site em seu navegador, no clique em links prontos que chegam em mensagens de correio eletrnico. Existem tcnicas para mascarar o real destino de um link, podendo direcion-lo para um site clonado. No abra excees. Assim como h profissionais trabalhando na segurana das empresas, h pessoas desenvolvendo tcnicas cada vez mais apuradas de persuaso e burla. Qualquer detalhe pode revelar uma possvel fraude.

Por outro lado, as tecnologias de certificao digital existem h aproximadamente duas dcadas, mas seu uso permanece inadequado. Sua utilizao poderia prover um nvel mais elevado de proteo na comunicao com seus clientes atravs da Internet, reduzindo os problemas relacionados a comprometimento de senhas e invaso de sistemas. A expectativa que em um futuro muito prximo certificados digitais assinados pela ICP-Brasil sero distribudos pelos bancos aos seus clientes. Mas at que as expectativas se cumpram, as solues devem ser baseadas na conscientizao dos clientes. Seja como for, crimes cometidos pela Internet continuaro acontecendo, independentes das protees que esto sendo utilizadas e desenvolvidas. O ser humano e sua falta de cuidados, ainda continuaro sendo o e mais lo fraco da corrente de segurana. Se as aes no compreenderem todos os elementos deste cenrio, golpes como os de Frank Abagnale continuaro a acontecer, mas agora na velocidade de um e-mail.

O sistema bancrio brasileiro um modelo para o mundo. O Sistema de Pagamentos Brasileiro, que agilizou a liquidez do sistema bancrio no pas um case fenomenal de integrao entre empresas poucas vezes visto. Os bancos, de forma geral, investem pesado em segurana da informao e disponibilizam cada vez mais recursos para seus clientes, tais como senhas adicionais e teclados virtuais.

:: Paulo Barbosa :: pbarbosa@theprime.com.br :: certificado como CISSP e ISSMP. Atuou nos ltimos anos como
Sr. Information Security Consultant e atualmente scio do The Prime Consulting Group.

Conferncia 2005 29 e 30 de Maro

Programao:
Anti-Forensics Real world identification, analysis and prevention A Formal and Effective Methodology to Deal with Slack Space Analysis over Several Hard Disks The Registry A central repository of evidence Handling a virus-spreading criminal case the legal issues Legal Analysis of a case of cross-border cyber-crime Computer Forensic laboratory management system. Practical way for standards and best practices implementation Psychological Profiling and Computer Forensics: Loucard's Principle in the Digital World Towards a Better Understanding of Internet Crimes On demand remote forensics for corporate environments Real-World Compromised Systems Forensics

Saiba mais sobre a programao em: http://ecce.n-gate.net/abs.html

http://www.ecce-conference.com
Evidncia Digital - 8

Evidncia Digital - 9

Jeimy J. Cano

Inseguridad Informtica: Un Concepto Dual en Seguridad Informtica

Resumen Este documento desarrolla una breve reflexin donde sugiere al lector repensar la seguridad informtica como un continuo entre tcnicas de hacking y anlisis de riesgos, que permita a las organizaciones aprender de sus fallas de seguridad y fortalecer sus esquemas de seguridad, no para contar con mayores niveles de seguridad, sino para evidenciar el nivel de dificultad que deben asumir los intrusos para ingresar a los sistemas.
Seguridad Informtica
Modelo de Hacking

Inseguridad Informtica

Figura 1. Dualismo de la Seguridad Informtica

Modelo de Riesgos y Controles

Introduccin Al terminar un ao e iniciar el siguiente, generalmente se presentan los resultados de la gestin del que concluye y se establecen los pronsticos sobre el venidero. El tema de seguridad informtica no es ajeno a esta dinmica del mundo, es quiz uno de los tpicos donde los especialistas en el rea buscan afanosamente establecer lneas de accin sobre caractersticas especiales de los acontecimientos que pasaron y podrn ser influyentes en el futuro. Revisando algunos de los pronsticos para el 2004 en el tema de seguridad [GREGORY, P. 2003, SAVAGE, M. 2003] encontramos que temas como: el SPAM, los firewalls personales, los dispositivos de almacenamiento USB, organizaciones criminales en internet, las crecientes regulaciones en el mbito tecnolgico, entre otros, sern elementos importantes donde muchos cambios y actividades tomarn lugar y generarn eventos que impactarn las organizaciones y la operacin de las mismas. Observando las reflexiones sobre las predicciones y concentrndonos en la estructura de pensamiento plasmada en las mismas, es frecuente observar que estos pronsticos muchas veces responden a eventos que en el pasado han ocurrido y se manifiestan como posibles tendencias, reflejando un pensamiento lineal que sugiere continuidad y avance, pero algunas veces negacin de los temas en s mismos. Es decir, las predicciones responden a causas y efectos que pueden ser establecidos y revisados. Sin causas no habra efectos, lo que se conoce en el pensamiento filosfico como dualismo.

El dualismo, ha sido factor clave para el desarrollo de muchos conceptos que hoy en da son fundamentales para el avance de la tecnologa y la seguridad informtica, pero no es la nica estrategia para abordar los fenmenos de nuestra realidad. En la perspectiva del dualismo un sistema es seguro o inseguro, lo que implica reconocer y profundizar en un lado de la lnea de pensamiento. Es decir, o aplicamos tcnicas de seguridad informtica para reducir los riesgos e implementar controles, vemos como podemos saber que tantas vulnerabilidades tenemos que nos hacen inseguros, para tomar medidas correctivas. En este sentido, presentamos la estrategia de la dualidad, como una manera complementaria de explorar los hechos mismos en el mundo, para reconocer las causas y los efectos en su contexto, sin negar la posibilidad de considerar que uno surge a partir del otro, es decir, reconocer que la seguridad informtica surge a partir de considerar la inseguridad informtica y viceversa; un continuo de aprendizaje que muchas veces no corresponde a una causa especfica sino a la relaciones existentes entre los componentes objeto del anlisis. (ver figura 2) Con estas ideas planteadas se desarrolla este breve documento donde revisamos el concepto de inseguridad informtica desde una perspectiva dual como una manera complementaria de comprender los elementos, relaciones y efectos de la seguridad informtica en el contexto de una realidad cambiante y dinmica. Los planteamientos sugeridos en este artculo responden a reflexiones recogidas de la experiencia de la industria al tratar de enfrentar la variabilidad de los escenarios y sus vulnerabilidades y, las ideas de la academia para profundizar en eventos predecibles e inesperados de la dinmica entre la tecnologa, la organizacin y los individuos.

Evidncia Digital - 10

La dualidad de la Inseguridad Informtica En mltiples investigaciones realizadas se considera el tema de la seguridad informtica como una disciplina del conocimiento donde se busca cerrar la brecha de los eventos inesperados que puedan comprometer los activos de una organizacin y as contar con estrategias para avanzar ante cualquier eventualidad. Consideremos ahora el estudio de la inseguridad informtica, como una disciplina dual donde los acadmicos y practicantes de la industria buscan las maneras detalladas para que ocurran eventos inesperados, establecer las condiciones extremas de funcionamiento de los dispositivos o estrategias, todo con el fin de hacer caminar en condiciones lmite la operacin de la organizacin y sus negocios. La estrategia dual sugiere contextualizar en un escenario real la incertidumbre inherente de la seguridad informtica para revisar entre otros aspectos: [SCHNEIER 2003, pag. 51] Cmo funciona el sistema? Cmo no funciona el sistema? Cmo reacciona ante una falla? Cmo hacerlo fallar?

en este contexto, las relaciones causales deben ser determinadas y concretadas de tal manera que sea posible detallar y sustentar los posibles estados exhibidos por el sistema al ser sometido a las pruebas de comportamiento sugeridas dentro del dominio de la definicin del producto mismo. Esta estrategia si bien aporta elementos detallados sobre el sistema y su funcionamiento futuro, nos ofrece pocas luces sobre comportamientos inesperados y condiciones extremas de operacin, dado que no se abre la posibilidad a una lgica de la inseguridad informtica como reflexin dual del ejercicio. Al revisar la inseguridad informtica como estrategia de pensamiento estratgico reconocemos que un sistema es tan seguro como su falla de seguridad ms reciente, que cuando ocurre o se manifiesta un problema de seguridad las personas se vuelven mas experimentadas y saben que hacer, que los sistemas mal diseados (pensamiento natural en seguridad informtica) no estn preparados para fallar (pensamiento dual en inseguridad informtica). En pocas palabras, comprender la inseguridad informtica del sistema en evaluacin para hacer el sistema dinmico y flexible ante nuevos ataques, atacantes o fallas de seguridad. [SCHNEIER 2003, Cap.9] La inseguridad informtica como pensamiento dual en seguridad informtica descubre que las relaciones entre los elementos del sistema son capaces de producir efectos positivos y negativos, los cuales son capaces de comprometer su supervivencia. En este sentido, comprender la inseguridad informtica como el dual de la seguridad informtica, en el contexto organizacional, representada esta ltima en sus participantes, sus procesos y tecnologa [CANO 2004], nos permite revisar las propiedades emergentes de la seguridad informtica en un escenario con mltiples variables, repensar la seguridad misma mas all de una directriz de la corporacin, como una mente pensante que aprende y evoluciona en su hacer. Explorando la dualidad de la Seguridad: La mente segura El concepto de la organizacin como una mente pensante y actuante, con un pensamiento complementario (dual) nos sugiere que la seguridad informtica, como una distincin mas de la organizacin, representa una dinmica de accin que podramos recrear considerando los elementos de la mente segura sugeridos por Day. Para Day [DAY 2003, pg.5] una mente segura consiste en la revisin y 1 prctica de virtudes y reglas de seguridad con el fin de tomar decisiones claras, consistentes y efectivas. Complementario a esta propuesta, la existencia de la mente insegura, como realidad presente de la
1 Las virtudes de la seguridad son: La seguridad deber ser una consideracin diaria, la seguridad debe ser un esfuerzo comunitario, las prcticas de seguridad deben mantener un foco generalizado, las prcticas de seguridad deben incluir medidas de entrenamiento para todo el personal de la organizacin. Las reglas de seguridad son: Regla del menor privilegio, Regla de los cambios, Regla de la confianza, Regla del eslabn ms dbil, Regla de separacin, Regla de los tres procesos, Regla de la accin preventiva y Regla de la respuesta apropiada e inmediata

Por tanto, la inseguridad informtica como disciplina dual en el estudio de la seguridad informtica, establece un paradigma complementario (es decir dual a la seguridad informtica) que comprende las propiedades emergentes de los sistemas (analizados) bajo condiciones y realidades extremas, las cuales no son viables en una estrategia de proteccin causal (dualismo) sugerida por la seguridad informtica actual. En este sentido, se quiere plantear la necesidad de revisar nuestra manera de abordar el tema de la proteccin de los activos de una organizacin, no solamente establecer las causas y los efectos, sino comprender las relaciones entre los objetos revisados y considerar las reacciones mismas entre estas que pueden sugerir efectos no predecibles en los modelos causales. Es decir conociendo que tan inseguros somos, podemos comprender que tan seguros podramos llegar a ser. Cuando se plantean las condiciones de anlisis de la seguridad y las pruebas de los elementos de los sistemas se consideran, entre otros, algunos elementos comunes como son: [WHITTAKER 2003, pag. 3]

Se requiere que el equipo de pruebas trabaje sobre la descripcin del comportamiento del producto o sistema, Se requiere que el producto o sistema sea ejecutado en un ambiente real o simulado, Se requiere que la funcionalidad del producto o sistema sea explorada de una manera metdica y que los resultados de las pruebas bien sean positivos o negativos, puedan ser analizados en contexto y as ofrecer un concepto formal del mismo;

Evidncia Digital - 11

organizacin, es un punto de anlisis adicional que se considera, no solo para dar sentido a la prctica de las virtudes y reglas de seguridad, sino para mantener la perspectiva de la incertidumbre inherente al proceso de la seguridad informtica. La mente insegura como dual de la mente segura, puede sugerir elementos de anlisis de situaciones extremas en las organizaciones que lleven no solamente a considerar las vulnerabilidades y riesgos de las informacin de los procesos de la empresa, sino repensar los procesos mismos para hacerlos mas confiables, en la medida que se consideren las diferentes perspectivas de la seguridad implcitas en cada uno de los participantes de los mismos. La mente insegura es una posibilidad de caminar y repensar el anlisis de riesgos como un modelo de hacking [HORTON, M y MUGGE, C. 2003, pg.38] consistente de reconocimiento del sistema objetivo, manipulacin y compromiso del objetivo, apalancamiento del ataque y conquista de nuevos objetivos.
Modelo de Informtica Figura 2. Concepto Dual de la Inseguridad Hacking

medios de proteccin. Con un pensamiento de este nivel, las organizaciones no buscarn solamente incrementar la confianza de sus clientes, sino comprender que la seguridad no es un problema de tecnologa, sino un problema de riesgos y las diferentes maneras de comprenderlos y manejarlos: una mente segura. Mientras ms se conoce la inseguridad informtica ms se comprenden las acciones y resultados de la seguridad en las organizaciones. En este sentido, la deteccin de posibles problemas de seguridad no generara valor sin una adecuada respuesta. Una respuesta que reconozca la inseguridad informtica como insumo y el ataque de seguridad como una variante a considerar en la proteccin de los activos. En consecuencia cuando somos capaces de reconocer y actuar en situaciones inesperadas, nuestra capacidad de anlisis y control aumenta, pues nuevas perspectivas se abren a las relaciones que exhibe la inseguridad informtica. Finalmente las palabras impenetrable, invulnerable o seguro, nos recuerdan que existen procesos, muchas veces ocultos a nuestro pensamiento, que pondrn a prueba la realidad de los sistemas y sus propiedades. La inseguridad informtica es pues una estrategia de reflexin y accin para repensar la seguridad informtica como una disciplina que es al mismo tiempo concepto y realidad.

Seguridad Informtica
Modelo de Riesgos y Controles

Inseguridad Informtica

En razn a lo anterior, la mente insegura, al igual que la inseguridad informtica son parte de un mismo continuo que busca entender que la seguridad informtica como necesidad organizacional, no es mas que el resultado de una propiedad emergente de un sistema que conoce sus condiciones extremas, su operacin lmite, as como sus recursos y posibilidades para darle sentido a la razn de su misin. Es decir, reconocer que los ataques y fallas de seguridad informtica son una constante y por tanto, se requiere conocer y validar los niveles de siniestralidad o falla que la organizacin puede manejar en la operacin de su negocio. Reflexiones Finales Mientras la seguridad informtica es un concepto subjetivo [SCHNEIER, B. 2003, pg.23], es decir propio al sujeto, la inseguridad informtica es objetiva, es decir propia al objeto. No es posible evitar la inseguridad informtica pues es una propiedad inherente a los objetos. Por tal motivo, se hace necesario explorar en profundidad dicha propiedad, pues mientras mas se comprenda la realidad de la inseguridad, con mejores ojos podremos comprender la seguridad informtica de las organizaciones. Considerar la inseguridad informtica como parte del ejercicio de seguridad informtica de las organizaciones, sugiere la capacidad de las organizaciones para cuestionarse sobre la situacin real del balance entre seguridad, facilidad de uso y funcionalidad [COLE, E. 2002,pg. 23] no para lograr mayores niveles de confiabilidad y aseguramiento de sus arquitecturas, sino para evaluar el nivel de dificultad requerido por los atacantes para ingresar y vulnerar los

Referencias
CANO, J. (2004) Hacia un concepto extendido de la mente segura. Pensamiento sistmico en seguridad informtica. Artculo de investigacin (En revisin). Universidad de los Andes COLE, E. (2002) Hackers beware. Defending your network from the wiley hacker. New Riders. DAY, K. (2003) Inside the security mind. Making the tough decisions. Prentice Hall. GREGORY, P. (2003) Security predictions for 2004. ComputerWorld. http://www.computerworld.com/printthis/2003/0,4814,88113,00 .html. Diciembre. HORTON, M y MUGGE, C. (2003) Hacknotes. Network Security Portable Reference. McGraw Hill. SAVAGE, M. (2003) Time to act. New Challenges in 2004. Secure Computing Magazine. http://www.scmagazine.com/scmagazine/2003_12/cover/index .html. Diciembre. SCHNEIER, B. (2003) Beyond Fear. Thinking Sensibly about security in an uncertain world. Copernicus Books. WHITTAKER, J. (2003) How to break software. A practical guide to testing. Addison Wesley.

:: Jeimy J. Cano, Ph.D :: jcano@uniandes.edu.co :: Investigador Independiente y Profesor de Ctedra de la Facultad

de Derecho y del Departamento de Sistemas y Computacin de la Universidad de los Andes, donde se adelanta investigaciones en los temas de Seguridad Informtica, Computacin Forense y Evidencia Digital. Coordinador Acadmico de las Jornada Nacional de Seguridad Informtica ACIS 2004. Mayor informacin: http://www.acis.org.co

Evidncia Digital - 12

Andrey R. Freitas

Observando todos os Processos em Execuo. Microsoft Window s

Um item muito importante na investigao registrar todos os processos em execuo atualmente no sistema. Voc pode usar o utilitrio pslist para enumerar todos os processos em execuo no sistema. A figura 1 mostra um exemplo do pslist em execuo. Pslist: http://www.sysinternals.com

Figura 1

Se o pslist revelar que o processo Eventvwr est sendo executado, isso sugere que algum est observando as conexes. Se voc ver Usrmgr, pode suspeitar que algum est tentando mudar a diretiva de auditoria, acrescentar ou excluir uma conta de usurio ou ainda modificar dados de contas de usurios (senhas). Portanto, preciso reconhecer os processos. Consulte a tabela 1 para obter uma lista de alguns processos. PROCESSO
SMSS CSRSS WINLOGON SERVICES LSASS SPOOLSS RPCSS anti2plab explorer EVENTVWR USRMGR MSDTC

DESCRIO
O gerenciador de sesso que configura o ambiente NT durante o processo de inicializao. Client-Server Runtime Server Subsystem (subsistema de servidor em tempo de execuo cliente-servidor), usado para manter o ambiente do sistema Win32 e diversas outras funes vitais. O servio de logon do Windows. Usado pelo NT/2000 para gerenciar servios. O Local Security Authority Security Service (servio de segurana da autoridade de segurana local). O servio de spool para o subsistema de impresso. O subsistema de chamada de procedimento remoto. Uma parte do sistema do driver de vdeo. Responsvel por criar o boto Start, objetos da rea de trabalho e da barra de tarefas. O aplicativo Event Viewer. O aplicativo User Manager. O Microsoft Distributed Transaction Coordinator (coordenador de transaes distribudas da Microsoft), que est configurado para iniciar automaticamente quando um sistema NT inicia. Tabela 1

:: Andrey R. Freitas :: periciaforense@yahoo.com.br :: editor da Revista Evidncia Digital e

Moderador do grupo Percia Forense Aplicada Informtica.

Evidncia Digital - 13

Mrio C. P. Peixoto

O Fator Humamo como Desafio Iminente s Polticas de Segurana da Informao dentro das Empresas
Resumo Inmeros so os relatos provenientes s tentativas bem ou mal sucedidas de ataques a servidores, ou computadores pessoais. Dotados dos chamados sistemas dificultantes de entrada indevida, mais conhecidos como firewall, anti-virus, anti-spam, antiworms; enfim todo o tipo de arquivo malicioso que venha a prejudicar a sade do computador. Embora toda a ateno, ou pelo menos grande parte dela, esteja focada aos cuidados tcnicos propriamente ditos, no adiantar se no estiver agregada orientao de como manipular tais informaes, tambm a conscientizao do porque e de quanto cada funcionrio em particular importante no cumprimento responsvel de seu papel dentro da Organizao. Em especial quanto s informaes que ali circulam dentro da empresa, mas sobretudo as informaes especficas a funo que se cumpre e responsvel.Em sntese os fatores relacionados a gesto da segurana da informao conjuntamente a algumas tcnicas da engenharia social, sero abordadas.Utopias a parte, este artigo busca singelamente demonstrar que conseguir bons resultados at mesmo a curto prazo possvel. Como ao certo ento moldar essa mentalidade a ponto de se chegar a uma conscientizao quase que homognea? Comeando por exemplo com planos de divulgao interna na empresa, educando, conduzindo e habituando o funcionrio a compreender a enorme importncia dele naquele contexto.

Metodologia

Introduo Visto que a maior complexidade em resolver os problemas de segurana inerentes s informaes, no esta na tecnologia empregada pela empresa e sim naqueles funcionrios que nela trabalham, parte-se do princpio de que todos so responsveis por todos. Ou seja, no porque um determinado funcionrio que trabalha no setor de limpeza, por exemplo, sabendo das condutas e prticas de segurana das informaes, poder deixar de chamar a ateno de outro funcionrio que trabalha no setor de contabilidade, percebendo alguma falha. Vale ressaltar que a conscientizao literalmente a alma do negcio Principalmente em se tratando de informaes sejam elas tcnicas, tticas ou estratgicas. A maneira com que entendida a informao perante os funcionrios tida como subjetiva. Essa mentalidade tem que ser mudada. Devese pensar como um todo. Independente de ser aquele ou outro funcionrio de diferentes setores.
FIGURA A Estrutura de Ataque

Legenda: OE Organizao Empresa ISE Informaes Sigilosas da Empresa (informaes internas e confidenciais da empresa) IGD Informaes Gerais Disponveis (informaes disponveis na internet, livros, revistas, jornais, ou at mesmo no lixo) Vtima Ativa (funcionrios da empresa) Vtima Superficial (parentes e/ou amigos da vtima ativa, ex-funcionrios,servios terceirizados, concorrentes).

Evidncia Digital - 14

Outro ponto a se destacar a importncia que a vtima superficial (VS) tem nesse papel das informaes fornecidas. Dependendo da origem desta vtima como sobretudo a qualidade destas informaes geradas ao engenheiro social, este contudo ter grandes possibilidades de j conseguir atingir seu objetivo. Assim como IGD + VS podem levar as informaes confidenciais da empresa tambm IGD + VA, chegam ao objetivo final, mas com maiores dificuldades, devido uma maior resistncia que a prpria VA pode oferecer, levando-se em conta a falta de credibilidade e confiana transmitida que o engenheiro social deveria dispor. Isso devido a no passagem pela coleta de informaes com a vtima superficial (VS). Enfim, a frmula ideal para uma maior garantia do sucesso deste ataque ser sem dvida passar por todas as etapas que um engenheiro social tem como recursos, ou seja:

IGD + VS + VA ISE

Agora de acordo com o que demonstrado na FIGURA B Dinmica da entrega de informaes, no momento em que o engenheiro social faz o contato, interage ou comunica-se, surge ento a chamada *Distncia de resistncia que existe com qualquer suposta vtima que o engenheiro social determina como alvo de seu ataque. Essa distncia pode ser tanto maior ou menor (da vtima ao engenheiro social) dependendo do estudo que fora feito pelo prprio engenheiro social na busca de uma gama maior de informaes, a tal ponto de fazer com que o contato com o alvo seja de certa forma bem familiarizada. Dando a impresso realmente de que o atacante (engenheiro social) conhece muito bem aquele ambiente tendo a total segurana do que esta falando, com quem quer falar e at onde chegar. *Raio de conhecimento equivale ao conhecimento baseado nas polticas de segurana adotadas pela Empresa mais o conhecimento das tcnicas utilizadas pelo engenheiro social. Ou seja, quanto maior for esse raio menor ser a probabilidade de se entregar informaes valiosas ao engenheiro social.

FIGURA B Dinmica da entrega de informaes

Resultados Analisando a FIGURA A Estrutura de Ataque, pode-se perceber que o engenheiro social estipula seus ataques para chegar ao foco principal, que as informaes confidenciais da empresa, passando sempre pelo elo mais fraco que o fator humano; ou seja, a chamada vtima ativa (VA) ou vtima superficial (VS). Pode-se afirmar ainda que os ataques do engenheiro social ganhem mais fora, ou conseguem atingir seus objetivos com mais eficincia, partindo-se do pressuposto de que a coleta primeiramente das informaes a partir do fator externo, IGD + VS, leva a deduzir que ser mais bem sucedida a chegada s informaes sigilosas da empresa (ISE) como tambm mais convincente a persuadir a vtima ativa (VA),fazendo IGC+VS+VA, para ento finalmente chegar a estas informaes confidenciais. Porm o engenheiro social poder optar por direcionar seu ataque diretamente vtima ativa (VA), almejando logo em seguida as informaes sigilosas da empresa (ISE).Sendo este mtodo considerado mais vlido para aquele engenheiro social com maior experincia.

Concluso Imbudo dos poucos conceitos mencionados, mas de concretas anlises metdicas como visto, percebera-se o quo frgeis e despreparadas esto a maioria das Organizaes hoje. Sem dvida a muitas lacunas a serem fechadas pelas empresas. Uma anlise TopDow j identifica tais lacunas.Um diagnstico mais minucioso identificar no mais simples lacunas e sim extensos buracos . lamentvel como ainda muitas empresas de pequeno, mas principalmente de mdio e grande porte, levam em

Evidncia Digital - 15

conta que a implementao de determinadas aes e diretrizes sejam consideradas mais uma despesa, e no um investimento; diga-se de passagem, muito benfico e relevante a evitar futuros agravantes aos ativos da empresa, consequentemente perda de capital. Contudo fica a lio de que com toda a evoluo que se perpetue ainda ao longo de muitos e muitos anos, a tecnologia mais tecnolgica ser sempre submissa ao humano mais humanstico. Referncias Bibliogrficas 01. MITNICK, KEVIN. O conhecimento que assusta. InformationWeek Brasil, [So Paulo], 2003. Entrevista. Disponvel em: <http://www.informationweek.com.br/iw70/mitnick/>. Acesso em: 27 fev. 2004.

02. MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de hackers: controlando o fator humano na segurana da informao. So Paulo: Pearson Education, 2003. 03. SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. Rio de Janeiro: Campus, 2003.

:: Mrio C. P. Peixoto :: mariocesar@nanet.com.br

Curso System Forensics, Investigation and Response

http: //www.batori.com .br/treinam entos/curs4con.asp

Evidncia Digital - 16

Laura C. M. Coelho e Ricardo J. Bento

Comparaes entre Ferramentas de Esteganografia

Resumo H um vasto nmero de ferramentas disponveis na internet para realizar esteganografia. A grande maioria delas gratuita e extremamente fcil de ser utilizada. Os testes descritos neste artigo foram realizados com algumas ferramentas disponveis e tm por fim evidenciar a grande diferena entre os principais recursos das ferramentas. Boa parte da informao foi obtida na prpria documentao das ferramentas.
Nome Licena Plataforma Meio Criptografia Pr Contra Estego-key Mtodo Avaliao (ver Anexo I) Tabela 1 Teste: Secret Space Secret Space Freeware Windows 95/98/NT Texto No realiza Fornece a data e a hora de insero da mensagem. No utiliza criptografia; Gera muitos espaos entre as palavras. No utiliza Armazena mensagens, inserindo espaos em branco em textos.

Secret Space Secret Space uma ferramenta de esteganografia em textos, ou seja, o recipiente um pedao de texto. Uma questo bastante importante a insero da data de criao do estego-objeto, que permite ao usurio ter controle do perodo em que o arquivo foi modificado, ou seja, se algum no autorizado realizar alguma modificao no arquivo, o usurio ir perceber. O texto que receber a mensagem deve ter entre 1.000 e 25.000 caracteres, dependendo do tamanho da mensagem. Observaes:

Sams Big Play Maker Sams Big Play Maker converte um texto arbitrrio numa pea teatral. O programa tem uma lista de palavras e frases que substituem cada caractere inserido.
Nome Licena Plataforma Meio Criptografia Pr Contra Sams Big Play Maker Freeware Windows 95/98/NT Texto No realiza No utiliza criptografia; Dicionrio limitado, facilitando a deteco de padres na permutao de palavras. No utiliza Converte um texto arbitrrio numa pea de teatro.

Estego-key Mtodo Avaliao (ver Anexo I)

Para rodar o software, o arquivo Msvbvm60.dll deve estar instalado na pasta: Windows\System. Caracteres especiais utilizam mais espao de armazenamento.

Tabela 2 Teste: Sams Big Play Maker

S-Tools

Quando adicionada mensagem no estego-texto, no se deve editar o texto, pois pode corromper ou destruir a mensagem. Portanto, deve-se tomar cuidado com programas de e-mail ou processadores de texto que interferem no layout e espaamento de textos. Depois de inserida e recuperada a mensagem, possvel apag-la.

A ferramenta S-tools permite realizar esteganografia em som e imagem. possvel esconder vrios arquivos em um s e utilizar compresso, neste caso, cada arquivo comprimido individualmente e armazenado juntamente com seus nomes. Se no for utilizada compresso, ento somente o dado puro, juntamente com seus nomes so armazenados. Todo o dado embutido criptografado utilizando uma passphrase que inserida para gerar a estego-key (atualmente, MD5 utilizado para o hash da frase em 128 pedaos distribudos uniformemente). O S -Tools dissemina um nmero pseudo-randmico criptograficamente gerado a partir da

Evidncia Digital - 17

passphrase e utiliza a sada para escolher a posio do prximo bit do recipiente a ser utilizado. Por exemplo, se um arquivo de som tem 100 bits disponveis para adicionar dado, e algum adicionar 10 bits, ento o STools pode escolher bits entre 0 e 9 que poderiam facilmente ser detectado por um atacante. Em vez disso, ele escolhe os bits 63, 32, 89, 2, 53, 21, 35, 44, 99, 80, ou outros dez, isso depende da passphrase que for inserida, o que torna o trabalho mais difcil para o inimigo. Observaes: Caractersticas avanadas de imagens GIF (transparncia ou animao) so perdidas quando utilizado o S-Tools.
S-Tools 4.0 Freeware Windows 95/98/NT e Unix Som/Imagem (WAV/BMP e GIF) Utiliza IDEA, DES, 3DES e MDC Vrias opes de criptografia; Utiliza mais de um mtodo de esteganografia; Esconde dados em qualquer formato de arquivo; Pouca perda de qualidade de imagem e de som; Permite manipulao da imagem; Fcil utilizao; Interface amigvel. No limita o tamanho mnimo da estego-key; Utiliza Dissemina um nmero pseudo-randmico criptograficamente gerado a partir da passphrase e utiliza a sada para escolher a posio do prximo bit do recipiente a ser utilizado.

Nome Licena Plataforma Meio Criptografia Pr

Figura 1 Comparao de Samplers S-TOOLS Sample de som recipiente (em cima) e Sample de Estego-objeto (em baixo)

Contra Estego-key Mtodo

O que o S -Tools faz distribuir o bit-pattern que corresponde ao arquivo que ser embutido pelos ltimos bits significativos da amostra de som. Por exemplo, suponha que uma amostra de som tem os seguintes sete bytes de informao em algum lugar no seu contedo: 132 134 137 141 121 101 74

Avaliao (ver Anexo I) Tabela 3 Teste: S-Tools

Samplers de sons so, por natureza, estimativas incertas do valor da onda de som em um certo momento no tempo. As amostras de som em arquivos WAV do Windows so armazenadas em 8 ou 16 bits que, eventualmente, passam pelo conversor DA (digital/analgico) na placa de som. Para as amostras de 8 bits, significa que os valores podem ser de 0 e 255. As amostras de 16 bits recebem valores entre 0 e 65535.

Em binrio o equivalente a: 10000100 10000110 10001001 10001101 01111001 01100101 01001010 Obs.: Os ltimos bits significativos de cada byte esto mostrados em vermelho. Suponha que seja necessrio esconder o cdigo binrio 1101010 na seqncia acima. Simplesmente troca-se os ltimos bits significativos de cada byte da amostra pelo bit correspondente do byte que est sendo inserido. Ento a seqncia acima ficar assim: 133 135 136 141 120 101 74

Em binrio: 10000101 10000111 10001000 10001101 01111000 01100101 01001010 notvel que alguns valores foram trocados. Esta troca permite que o som parea inalterado ao ouvido humano e, alm disso, a mensagem de 7-bits foi escondida com sucesso.

Evidncia Digital - 18

Todas as imagens digitais so compostas de um array (cadeia) de pontos, chamados pixels. Cada um desses pixels tem sua prpria cor, representada por valores distintos de vermelho, verde e azul. Dentro do Windows, cada um destes nveis de cores pode alcanar valores entre 0 (nenhuma cor) e 255 (todas as cores). Um pixel com um valor RGB (Red Green e Blue) de 0 0 0 equivalente a cor preta e, um com valor 255 255 255 branco.

diferenas entre uma imagem de 256 cores escaneada para uma de 32.

Hide4PGP Hide4PGP um programa de linha de comando. Foi feito para ser utilizado com o software PGP (Pretty Good Privacy) de Phil Zimmermann. O autor se baseou no programa White Noise Storm e no Steganos v1.4. Ambos programas fazem um bom trabalho quando tratados true color bitmaps. Imagens em escala de cinza, s vezes, tm problemas, e BMPs com paleta de 256 cores, geralmente, tm drsticas mudanas. O motivo que pixels em bitmaps de 8 bits no armazenam cores, mas sim ndices a uma tabela de cores. Modificar os ltimos bits significativos com dados quantitativos reais faz a diferena de 1 na faixa de 255, menos que 0,4%; 2 bits significam 3 em 255 ou 1,2% ainda muito difcil de reconhecer. Modificar 1 bit com entradas na paleta significa uma cor diferente, provavelmente oposta. Imagens em escala cinza tambm tm uma paleta, esta contm cores em escala cinza em ordem estritamente ascendente de brilho, fazendo com que os ndices da paleta se assemelhem a valores reais de cinza, mas algumas vezes a paleta tambm arbitrariamente misturada. A primeira verso do Hide4PGP supera tais circunstncias realizando um rearranjo dos pares de cores similares da paleta e duplicando cores freqentes para posies no utilizadas da paleta. Em meados de 1999, Luke Natraj e Philip Tellis apresentaram o programa 'Spyder'. Este programa trabalha somente em bitmaps paletizados, e notavelmente ele fez isso melhor que Hide4PGP. A idia foi assimilar os bits de informao s paletas de cores e, ento, codificar cada pixel deixando-o inalterado ou modificando para a cor mais similar. O autor fez isso porque os padres de cores no precisam ser mutuamente exclusivos, o que permite escolher a melhor combinao de cores. Com permisso de Luke Natraj, o algoritmo foi integrado ao Hide4PGP, combinando-se com o mesmo. O resultado uma melhora, feita atravs de mudanas na paleta de cores para desfazer parcialmente a mudana de cores dos pixeis aqui o Hide4PGP utiliza clculos diferentes do Spyder. Com o novo algoritmo para bitmaps paletizados, a preservao da ordem na paleta no necessria. O que faz com que o Hide4PGP permita utilizar a maioria dos formatos. O Hide4PGP suporta imagens sem compresso com 256 ou 16.7 milhes de cores, WAV com 8, 12 os 16 bits sem compresso, mono ou estreo e arquivos VOC de 8-bits. O Hide4PGP trabalha somente nos dados reais, deixando os espaos inutilizados intocveis. Isto permite que o arquivo seja convertido em outro formato de imagem ou som e permitir que o dado oculto permanea intacto. O Hide4PGP distribui o dado secreto uniformemente em todo o arquivo multimdia. possvel utilizar mais que u bit por pixel, os limites para cada m tipo de arquivo so: BMP SVGA paletizado 1 bit; BMP em escala de cinza 2 bits;

Figura 2 Comparao de Imagens S-TOOLS Imagem recipiente (em cima) e Estego-imagem (em baixo)

S-Tools trabalha com espalhamento do bit-pattern do arquivo que ser escondido em cima dos ltimos bits significativos dos nveis de cores na imagem. Para imagens 24 bits simples, pois elas so armazenadas internamente com o triplo de RGB, e tudo o que necessrio fazer espalhar os bits e salvar o novo arquivo. A desvantagem que imagens de 24 bits so muito largas, pois possuem 3 bytes para cada pixel (para uma imagem de 640x480 equivalente a 640x480x3=921600 bytes). Em imagens no padro 256 cores consideravelmente mais difcil se esconder algo. Devido ao fato de que a imagem j pode ter mais de 200 cores, cada modificao ir levar ao mximo absoluto de 256. Imagens com 32 cores ou menos nunca excedero 256 cores, no importa o quanto ela seja modificada. Por exemplo, os 3 ltimos bits significativos de um RGB triplo com 3-bits. possvel modificar os dgitos binrios de 000 at 111 para um dos oito valores possveis. Se uma cor se expandir para mais de 8 cores, pode-se ter 256/8=32 cores distintas sem risco de exceder o limite mximo de 256 cores. possvel que o arquivo no modifique uma cor para uma de suas oito possveis combinaes e mantenha mais de uma das cores originais. O S-Tools tenta reduzir o nmero de cores da imagem com intuito de preservar ao mximo possvel a qualidade da imagem, sendo muito difcil notar as

Evidncia Digital - 19

BMP true color 6-bits por pixel (2-bits por canal); VOC 8-bit; WAV 1-bit; e WAV 12 or 16-bit 4 bit por sample.

texto escondido criptografado usando a palavra pass como senha. Isto produz um resultado chamado exemplo_stego.mp3. decode -X -P pass exemplo_stego.mp3

Estes limites deveriam garantir que nenhuma mudana no contedo dos arquivos fosse evidente a uma pessoa normal. Bitmaps de 256 cores sempre tm somente cem ou menos cores. As entradas na paleta remanescentes no so utilizadas, mas ficam presentes. Hide4PGP pode utilizar algumas entradas como cores parceiras para as que no tm nenhuma. Para este propsito, a cor em questo copiada para a entrada no utilizada, resultando em duas entradas quase idnticas; quase porque as cores parceiras sempre diferem, pelo menos no ltimo bit significativo do canal. Programas grficos ou conversores que rearranjam a paleta iro respeitar a pequena diferena, mas programas de scanning podem procurar por entradas quase idnticas.
Nome Licena Plataforma Meio Hide4PGP 2.0 Freeware Opensource DOS, OS/2 e Linux Arquivos BMP de 8 ou 24 bit, WAV (mono) de 8, 12 ou 16 bits, VOC de 8 bits No realiza. Fcil utilizao. A verso 2.0 no realiza a recuperao de esteganografia realizada em verses anteriores do software. Trabalha apenas com a verso 2.0 do PGP (no disponvel para download). Criptografia possvel quando o software for utilizado com a verso 2.0 do PGP. No utiliza. Esconde qualquer formato de arquivo dentro de arquivos BMP, WAV ou VOC. Tabela 4 Teste: Hide4PGP

Descomprime exemplo_stego.mp3 em exemplo_stego.mp3.pcm e tenta extrair a informao escondida. A mensagem escondida decodificada, descomprimida e salva no formato exemplo_stego.mp3.txt.
Nome Licena Plataforma Meio Criptografia Pr Contra MP3Stego Freeware Windows 95/98/NT e Unix udio Utiliza AES e SHA -1 Por fazer compresso dentro de arquivos mp3, dificulta a comparao com o original (wav). No limita o tamanho da estego-key; No oculta a estego-key no momento da digitao; Os recipientes devem ter formato especfico: riff, pcm, wav, 44.100Hz 16 bits mono. Utiliza Os dados so comprimidos primeiramente junto com o arquivo RIFF, PCM ou WAV da ento criptografados e escondidos no arquivo MP3.

Estego-key Mtodo

Avaliao (ver Anexo I) Tabela 5 Teste : S-Tools

Criptografia Pr Contra

Ezstego Ezstego um software baseado em plataforma MAC mas escrito em plataforma independente em linguagem Java, sendo capaz de manipular imagens GIF, embutindo arquivos de texto utilizando o mtodo de substituio dos ltimos bits significativos da imagem. O Ezstego no disponibiliza meios de se tratar a imagem nem o mtodo de esteganografia, alm de no utilizar criptografia, o que limita a segurana e a eficcia do mtodo.
Nome Licena Plataforma Meio Criptografia Pr EzStego Freeware Qualquer plataforma que suporte Java. Imagem (GIF) No utiliza Fcil utilizao; Interface amigvel. Oferece ferramenta de busca de arquivos GIF na WEB. No utiliza meios de manipulao da imagem. No utiliza Embutir arquivos texto imagens GIF

Estego-key Mtodo Avaliao (ver Anexo I)

MP3Stego H um interesse crescente na internet em arquivos de MP3 porque oferecem uma qualidade bem prxima de um CD em relao compresso de 1 para 11 (em um arquivo de 128 kilobits por segundo). Isto fornece uma tima oportunidade de esconder informaes. MP3Stego esconde informaes em arquivos MP3 durante o processo da compresso. Os dados so primeiramente criptografados, embutidos num arquivo WAV e depois comprimidos no formato MP3. Qualquer oponente que descomprimir o bit stream e recomprimi-lo, apagar a informao escondida na verdade este ainda o nico ataque conhecido. Exemplo de utilizao: encode -E hidden_text.txt -P pass exemplo.wav exemplo_stego.mp3 O comando acima comprime exemplo.wav (mono, 44.1 kHz, codificado em 16bit) e esconde hidden_text.txt. O

Contra Estego-key Mtodo Avaliao (ver Anexo I)

Tabela 6 Teste: EzStego

STELLA O Stella um freeware desenvolvido em Java, capaz de esconder dados em diferentes arquivos de imagem. Com o Stella possvel embutir e extrair uma mensagem com diferentes tcnicas esteganogrficas. Para esteganoanlises, esta aplicao tem includas diferentes ferramentas que detectam uma mensagem

Evidncia Digital - 20

oculta ou uma assinatura, usando ataques do tipo chosen message e chosen/known cover. Adicionalmente, possui ferramentas que efetuam a comparao da imagem original com a esteganografada, alm de oferecer informaes estatsticas da imagem onde a mesma ser escondida e do texto. Ocultao: Inclui o codec do EzStego (para anlise e extrao nas tcnicas que o utilizem); Inclui o codec do prprio STELLA; Suporta imagens gif/bmp/jpg; Esconde qualquer tipo de informao arbitrria; Protege a mensagem embutida usando chave privada; Possvel manipular o processo de ocultao, priorizando: qualidade, capacidade ou robustez.

Nome Licena Plataforma Meio Criptografia Pr

Contra Estego-key Mtodo Avaliao (ver Anexo I)

STELLA 1.0 Freeware Qualquer plataforma que suporte Java Imagem (GIF, JPEG e BMP) No utiliza Utiliza mais de um tipo de imagem recipiente; Esconde qualquer formato de arquivo, por exemplo: txt, dll, exe, zip. Permite comparao e manipulao da imagem de forma que se pode escolher entre qualidade, robustez ou quantidade de dados; Fcil utilizao; Interface amigvel. No limita o tamanho mnimo da estego-key; Utiliza Embutir e extrair mensagens em arquivos de imagem GIF, JPEG e BMP.

Tabela 7 Teste: STELLA

WbStego4 WbStego4 uma aplicao de 32 bits para Windows. Permite esconder qualquer tipo de arquivo dentro dos seguintes recipientes: Windows bitmaps com 16, 256 or 16.7 milhes de cores; Arquivos de textos ASCII ou ANSI; Arquivos HTMLs; e Arquivos PDFs.

Extrao: Extrai mensagens ocultadas com EzStego; Extrai mensagens ocultadas com STELLA; Mostra a mensagem extrada como texto ou puro ascii;

Ferramentas: Mostra a paleta de cores para imagens em formato gif (recipiente e estego-objeto); Mostra a diferena da figura entre a imagem recipiente e a estego-imagem; Mostra o histograma dos principais componentes; Mostra a distoro medida entre a imagem original e a estego-imagem; D informaes bsicas da imagem original.

Esta ferramenta utiliza substituio dos ltimos bits significativos. Dependendo do tipo de recipiente, algumas recomendaes devem ser seguidas: Arquivos Bitmaps O critrio mais importante a profundidade da cor (quantidade de pixels que definem o valor uma cor). Bitmaps com as seguintes cores so aceitas: 4 bit = 16 cores (ou 16 escala de cinza) 8 bit = 256 cores (ou 256 escala de cinza) 24 bit = 16.777.216 cores

Extras: Mostra dois arquivos diferentes para comparao; Conta os 0s e 1s num arquivo arbitrrio; Inclui detector de limites da imagem.

Bitmaps com grandes reas de somente uma cor devem ser evitadas. Dependendo da profundidade da cor dos bitmaps pode ser possvel armazenar a seguinte quantidade de dados ocultos: 4 bit = 16 cores: 4 : 1 8 bit = 256 cores: 8 : 1 24 bit = 16 777 216 cores: 8 : 1

Figura 3 Comparao de Imagens STELLA Comparao entre uma imagem recipiente (esquerda) e estego-imagem (direita).

NOTE: os bitmaps utilizados no WbStego4 no podem ser convertidos para outros formatos, pois o dado oculto pode ser perdido. Formatos que oferecem compresso lossless, (por exemplo PCX) podem ser utilizados, mas a profundidade da cor pode ser modificada. Formatos utilizando outros mtodos de compresso no devem ser utilizados, por exemplo, JPEG. Para reduzir o tamanho do recipiente, o desenvolvedor aconselha utilizar mecanismos de compactao do tipo Arj, Zip, entre outros, pois eles trabalham com tcnicas lossless de compresso. Caso uma tcnica do tipo lossy for

Evidncia Digital - 21

aplicada, usualmente, os ltimos bits significativos so perdidos, portanto toda informao embutida destruda. Arquivos de Texto WbStego4 permite processar textos tanto ASCII (DOS) como ANSI (Windows). O software oferece dois mtodos diferentes para codificar dados em arquivos de textos: Standard Method: o tamanho do arquivo permanece no modificado. Quando o recipiente visualizado em processadores de textos, podem aparecer caracteres especiais. Compatible Method: o tamanho do arquivo aumenta. No existem mudanas visveis quando manipulados arquivos recipientes em outras aplicaes. A capacidade dos arquivos de texto para esconder informao depende muito do contedo do arquivo. Arquivos HTML Arquivos HTML so tratados como arquivos de texto, e neles utilizado o Compatible Method. No possvel visualmente, nem pelo cdigo html perceber se existem dados ocultos. Arquivos PDF No existem limitaes quando utilizados arquivos PDFs. A manipulao destes arquivos no visvel quando utilizado qualquer PDF viewer. Porm, em alguns testes, a sada um arquivo corrompido. Na tentativa de extrair os dados ocultos deste, tambm no foi obtido sucesso, pois a sada no foi apresentada legivelmente. A ocultao de dados em arquivos PDF aumenta o tamanho do arquivo. No existem regras gerais da capacidade de um arquivo PDF. Criptografia A verso registrada do WbStego4 criptografa o dado embutido utilizando os seguintes algoritmos: Blowfish; Twofish; e CAST and Rijndael (AES)

Nome Licena Plataforma Meio Criptografia Pr Contra

Estego-key Mtodo Avaliao (ver Anexo I)

WbStego 4.1 Shareware. Windows 95/98/NT Html, Pdf, txt Blowfish; Twofish; e CAST and Rijndael (AES). Interface amigvel. No limita o tamanho da estego-key; A ocultao em pdf raramente realizada com sucesso. Utiliza Substituio dos ltimos bits significativos.

Tabela 8 Teste: WbStego4

Hide and Seek O Hide and Seek, foi desenvolvido para plataforma DOS, porm, na verso atual, 5.0, j possui interface grfica, alm de outras funcionalidades. O meio utilizado a imagem, por meio de arquivos GIF possvel ocultar arquivos texto e utilizar ou no uma passphrase, a qual utiliza criptografia IDEA, o que dificulta o trabalho do esteganoanalista que estiver munido da imagem esteganografada.
Nome Licena Plataforma Meio Criptografia Pr Hide and Seek 5.0 Freeware DOS Imagem GIF No utiliza Esconde qualquer formato de arquivo, por exemplo: txt, dll, exe, zip; Fcil utilizao; No oferece manipulao das imagens. No limita o tamanho mnimo da estegokey; Utiliza Embutir arquivos de vrios formatos numa imagem GIF

Contra Estego-key Mtodo Avaliao (ver Anexo I)

Tabela 09 Teste: Hide and Seek

Mandelsteg e Gifextract Estes dois programas permitem esconder dados confidenciais em imagens gif, aumentando o nvel de segurana comparado ao envio de e-mails criptografados por PGP na internet. O Mandelsteg ir criar uma imagem Mandelbrot (dessa forma ser facilmente modificado para produzir outros fractais), armazenar seus dados em bits especficos da imagem, depois o GifExtract pode ser usado para extrair os dados da imagem. O Mandelsteg no tem a inteno de substituir o uso de criptografia; em um mundo ideal ns todos poderamos enviar e -mails criptografados abertamente ou arquivos, sem medo das represlias, porm h casos freqentes em que isto no possvel, tampouco porque o governo local no aprova uma comunicao criptografada, ou talvez porque se esteja trabalhando para uma companhia que no permita o envio de e-mails criptografados.

Evidncia Digital - 22

Mandelsteg Criptografia Mandelbrot MandelSteg tem vrias modalidades de operao, dependendo do nvel da segurana que se deseja. Sem nenhuma linha de comando as opes especificadas geraro simplesmente um GIF 640x480. Com opo -c calcular quantos bytes podem ser armazenados na imagem e com -e far o exame dos dados armazenados e os esconder na imagem, e com a opo -r far com que a ocultao seja feita em bits aleatrios. Para um nvel mais baixo de segurana, os dados sero armazenados simplesmente no bit especificado de cada pixel, e uma paleta de 128 cores criada tal como os pixels so vistos, mesmo se no houver dados armazenados nele. Isto ser suficiente para sobrevi ver a uma anlise comum, mas ser bvio a qualquer especialista nas artes de esteganografia, pois, substituindo a paleta fornecida para a imagem por outra, sero exibidos, na parte superior, os bits de dados escondidos nas reas de cor contnua. Para resolver este problema, deve-se especificar o flag ns, que armazenar somente dados nas reas de cor no contnua (note que isto pode diminuir extremamente a quantidade de dados que se pode armazenar na imagem). Uma outra indicao de uma imagem esteganografada a paleta de 128 cores duplicada, que pode ser substituda por uma paleta de 256 cores com o flag -fp. Obviamente, se se especifica o -fp e no se especifica o -ns, ser produzida uma imagem esteganografada aparente. Finalmente, pode-se especificar o bit que armazenar os dados usando -b seguido pelo nmero de bits, se no o programa opta pelo bit sete. O bit sete d melhor desempenho, mas o bit zero da maior segurana. Podese, tambm, especificar que um nmero de bytes na imagem podem ser perdidos antes dos dados serem criptografados com a opo -bp, seguido pelo nmero dos bytes perdidos. Se a opo -r especificada, os dados aleatrios sero colocados ento nestes bytes, e adicionados tambm aos dados de entrada para encher completamente o bitplane especificado.
Nome Licena Plataforma Meio Criptografia Pr Contra Madelsteg e Gifextract Freeware Unix Imagem GIF Somente se acoplado ao PGP Permite manipulao do mtodo de esteganografia, dificultando a esteganoanlise, pois no existe padro. No utiliza estego-key e s utiliza criptografia acoplado ao PGP No Utiliza Esteganografa dados em imagens GIF

(abaixo de 5%) e sem o arquivo original, no possvel concluir com certeza que o arquivo recipiente contm dado inserido. Como a percentagem de insero aumenta a natureza estatstica de coeficientes jpeg diferentes do normal para um grau que aumenta a suspeita. Acima de 15%, os efeitos comeam a ficar visveis a olho nu. claro que algumas imagens so muito melhores que outras, melhor quando se utiliza um arquivo recipiente com muitos detalhes. Um cu azul sem nuvem sobre uma montanha coberta de neve uma imagem ruim, j uma queda dgua em uma floresta provavelmente ideal.
Nome Licena Plataforma Meio Criptografia Pr Contra Estego-key Mtodo Avaliao (ver Anexo I) JPHIDE e JPSEEK verso Beta Freeware Plataforma DOS, Windows e Linux. Imagem jpeg No utiliza Interface amigvel Fcil utilizao Tamanho mnimo da estego-key no limitado Utiliza Esteganografa dados em imagens jpeg

Tabela 11 Teste: JPHIDE e JPSEEK

Camouflage Apesar de ser um projeto que foi descontinuado, o Camouflage uma ferramenta muito fcil de ser utilizada. Ao ser instalada, ela cria menus para que, ao clicar em algum arquivo com o boto direito no Explorer do Windows, seja possvel realizar o processo de ocultao de dados. Esta ferramenta permite esconder dados em qualquer tipo de arquivo, contudo no recomendada a utilizao de aquivos txts como recipientes, pois ao abrir os arquivos de texto em um editor, a parte do arquivo criptografada pela ferramenta exibida no meio do arquivo texto, tornando visvel que aquele arquivo de texto possui dados escondidos. Outra recomendao ter cuidado ao transferir estegoobjetos via FTP, porque a maioria das transferncias realizadas por meio deste protocolo faz a converso dos arquivos para ASCII, o que certamente ir corromper a informao oculta. Para transferir os dados via FTP necessrio selecionar o tipo Binrio para transferncia.
Nome Licena Plataforma Meio Criptografia Pr Contra Estego-key Mtodo Avaliao (ver Anexo I) Camouflage 1.2.1 Freeware Windows Qualquer arquivo Mtodo no informado. Fcil utilizao; A data de criao do arquivo esteganografado permanece a mesma do recipiente. No limita o tamanho da estegokey Utiliza Tamanho mnimo da estego-key no limitado

Estego-key Mtodo Avaliao (ver Anexo I) Tabela 10 Teste: Madelsteg e Gifextract

JPHIDE e JPSEEK JPHIDE e JPSEEK so programas que permitem esconder arquivos em uma imagem JPEG. Existem vrias verses de programas similares disponveis na internet. Dada uma imagem, uma taxa de insero baixa

Tabela 12 Teste: Camouflage

Evidncia Digital - 23

ANEXOS ANEXO I Mtricas de avaliao Os parmetros utilizados para a avaliao programas so descritos na tabela abaixo:
1 2 3 4 5

:: Laura C. M. Coelho :: laura_cris@yahoo.com :: Analista de Segurana da Informao da CASSI Caixa de

dos

Assistncia aos funcionrios do Banco do Brasil. Graduada em Processamento de Dados e ps-graduada em Segurana de Redes de Computadores.

Utilizao de criptografia na informao escondida. Utilizao de estego-key. Quantidade de Sistemas Operacionais, onde possvel ser instalado. Oferece tratamento e/ou manipulao do meio onde ser realizada a ocultao da informao. Quantidade de recipientes onde possvel realizar a ocultao da informao. Tabela de referncia para mtricas de avaliao

:: Ricardo J. Bento :: ricardo_jorba@hotmail.com

Os programas avaliados que deixaram de cumprir com algum dos itens no receberam a estrela respectiva, j os que receberam meia estrela, cumprem parcialmente o requisito. Exemplo: no item que diz respeito a sistemas operacionais. Se o programa estiver disponvel a apenas um sistema receber meia estrela, de dois em diante receber uma estrela. Da mesma forma ocorre com o quesito quantidades de recipientes, os que permitem apenas um tipo de recipiente, receberam meia estrela, j os que permitem mais de um tiveram direito a uma estrela cheia.

ANEXO II Endereos na Internet para Download das Ferramentas Os endereos na Internet das ferramentas utilizadas esto listados na tabela abaixo. Estes e outros programas podem ser obtidos no seguinte endereo: http://www.jjtc.com/stegoarchive/stego/software.html

FERRAMENTA Secret Space Sams Big Play Maker S-Tools Hide4PGP MP3Stego Ezstego STELLA S - WbStego4 Hide and Seek Mandelsteg e Gifextract JPHIDE e JPSEEK Camouflage

ENDEREO http://evidence-eliminators.co.uk/downloads/secret.zip http://www.scramdisk.clara.net/play/playmaker.zip ftp://ftp.ntua.gr/pub/crypt/mirrors/idea.sec.dsi.unimi.it/code/s-tools4.zip http://www.heinz-repp.onlinehome.de/Hide4PGP.htm Interface Textual (Cdigo Fonte em C): http://www.petitcolas.net/fabien/software/MP3Stego_1_1_16.zip Interface Grfica: http://www.petitcolas.net/fabien/software/MP3Stego_GUI.zip Cdigo Fonte - http://www.stego.com/Source.zip http://wwwicg.informatik.uni-rostock.de/~sanction/stella/software/StellaFull.zip http://www.8ung.at/wbailer/wbstego/dl_ix000.htm http://www.rugeley.demon.co.uk/security/hdsk50.zip ftp://ftp.ntua.gr/pub/crypt/mirrors/idea.sec.dsi.unimi.it/cypherpunks/steganography/MandelSt eg1.0.tar.gz Linux: ftp://ftp.gwdg.de/pub/linux/misc/ppdd/jphs-0.3.tgz Windows: ftp://ftp.gwdg.de/pub/linux/misc/ppdd/jphs_05.zip http://camouflage.unfiction.com/Camou121.exe

Evidncia Digital - 24

Evidncia Digital - 25

Jeimy J. Cano

V Jornada Nacional de Seguridad Informtica

Las JORNADAS NACIONALES DE SEGURIDAD INFORMTICA, como un escenario para desarrollar y promover la investigacin acadmica y cientfica en el rea de seguridad informtica, invita a todos aquellos interesados en presentar trabajos de investigacin realizados o casos de la industria sobre el tema, com el fin de compartir la experiencia, implementacin y hallazgos en los temas propuestos para este evento expuestos a continuacin (no pretende ser una lista exhaustiva):
Profesor Walter Baluja, M.Sc. Instituto Superior Politcnico Jose A. Echeverra CUBA Experto en seguridad informitca Bernardo Quintero, M.Sc Hispasec ESPAA Profesor Jorge Ramio, Ph.D Universidad Politcnica de Madrid ESPAA Profesora Amparo Fster, Ph.D Consejo Superior de Investigaciones Cientficas ESPAA Profesora Pino Caballero Gil, Ph.D Universidad de la Laguna ESPAA Profesor Arturo Ribagorda Garnacho, Ph.D Universidad Carlos III de Madrid ESPAA Profesor Juan Manuel Garcia, Ph.D Instituto Tecnolgico de Morelia MEXICO Profesora Mirela Sechi Moretti Annoni Notare, Ph.D Barddal University BRASIL Profesor Juan Guillermo Lalinde, Ph.D Universidad EAFIT COLOMBIA Profesor Manuel Mora Tavarez, Ph.D Universidad Autnoma de Aguascalientes MEXICO

Modelos de Seguridad Informtica Estndares de Seguridad Informtica Seguridad en dispositivos mviles inalmbricos Mecanismos de Autenticacin y control Polticas y estndares de seguridad Mejores prcticas de seguridad informtica Algoritmos de Encripcin, VPN, PKI Contingencia y recuperacin de desastres Tcnicas de Hacking y anlisis vulnerabilidades Seguridad en el permetro Seguridad en Bases de Datos Seguridad en Sistemas Operacionales y redes Computacin forense y atencin de incidentes Evidencia Digital y procedimientos asociados. Anlisis de riesgos de seguridad informtica Consideraciones ticas seguridad informtica Dispositivos biomtricos y legales de la de e

Seguridad en VoIP Seguridad en Telecomunicaciones

Para esta quinta versin de la JORNADAS NACIONALES DE SEGURIDAD INFORMTICA, se cuenta con la participacin de un comit de programa internacional conformado por profesionales especialistas en el rea, quienes adelantarn la evaluacin y anlisis de los trabajos presentados en este evento:

Evidncia Digital - 26

Profesor Aurora Snchez, Ph.D Universidad Catlica del Norte CHILE Profesora Angela Cristina Carrillo, Ph.D(c) Instituto de Informtica y Matemtica Aplicadas de Grenoble FRANCIA Profesor Jeimy J. Cano, Ph.D Coordinador Acadmico V JNSI COLOMBIA

NOTA: Los artculos corregidos que no lleguen en la fecha sugerida no sern incluidos en las memorias del evento. Los artculos deben ser enviados para su evaluacin por parte del comit de programa va correo electrnico con subject "Articulo-V JNSI" a: jcano@uniandes.edu.co Mayor Informacin por favor visite: http://www.acis.org.co/vjornadaseguridad
:: Jeimy J. Cano, Ph.D :: jcano@uniandes.edu.co :: IEEE Senior Member
DVP Latinoamerica Coordinador Acadmico V Jornadas Nacionales de Seguridad Informtica Asociacin Colomb iana de Ingenieros de Sistemas - ACIS 2005

Para la presentacin de estos artculos (de investigacin o de experiencia o implementaciones en la industria) se requiere seguirlos siguientes parmetros: 15 paginas mximo, sin incluir figuras y referencias. En pgina aparte: Incluir titulo, Nombre del proponente(s), Filiacion (Universidad/empresa), correo electrnico, telfono o fax, direccin fsica En primera pgina: Lo sugerido en formato de IEEE Transactions, exceptuando nombre de los autores y su filiacin Tamao de letra Times New Roman 12 puntos Espacio sencillo Archivos Word 97 o RTF

Utenslios utilizados na Percia

Las preguntas sobre patrocinios, descuentos, inscripciones, en general aspectos comerciales del evento, deben ser remitidos a Sra. Beatriz Caicedo, Directora Ejecutiva de la Asociacin Colombiana de Ingenieros de Sistemas - ACIS a la direccin bcaicedo@acis.org.co Las inquietudes sobre aspectos academicos debern ser enviadas al correo electrnico del Coordinador Acadmico del evento. Todos los trabajos presentados sern tratados como propiedad intelectual de los autores. Fechas importantes: Marzo 25 de 2005 - Fecha lmite de recepcin de artculos Mayo 2 a Mayo 6 de 2005 - Notificacin de Aceptacin o Rechazo de artculos y comentarios de los evaluadores Junio 6 de 2005 - Envio de articulos corregidos para publicacin final en las memorias. Junio 22, 23 y 24 de 2005 - Realizacion V Jornadas Nacionales de Seguridad Informatica

Evidncia Digital - 27

Andrey R. Freitas

Onde Procurar Provas ?

Antes de realizar uma anlise pericial, importante saber onde procurar as provas. O local depender do caso especfico, mas em geral, as provas podem ser encontradas nos seguintes locais:

Microsoft Windows

Dados volteis (usar preferencialmente aplicativos CUI Console User Interface). Espao livre ou no-alocado, onde se pode obter informaes de arquivos excludos. Os Logs de eventos. Os Logs dos aplicativos no gerenciados pelo servio de log de eventos do Windows. O Registro, que pode ser considerado um enorme arquivo de log. O arquivo de troca, que abriga informaes alocadas recentemente na RAM (pagefile.sys). Arquivos especiais em nvel de aplicativo (cache de navegador). Arquivos temporrios criados por muitos aplicativos. A lixeira (uma estrutura de arquivos lgicos ocultos onde itens recentemente excludos podem ser encontrados). O spool de impresso. E-mails enviados ou recebidos.

Linux

Dados volteis. Espao livre ou no-alocado, onde se pode obter informaes de arquivos excludos. Arquivos de Logs. Os Logs dos aplicativos no gerenciados pelo Sistema Operacional. O arquivo de troca (Swap). Arquivos especiais de configurao. Arquivos relevantes. Diretrios temporrios. E-mails enviados ou recebidos. Processos marginais. :: Andrey R. Freitas :: periciaforense@yahoo.com.br O spool de impresso.

:: editor da Revista Evidncia Digital e Moderador do grupo

Percia Forense Aplicada Informtica.

Segurana no Desenvolvimento de Software

http://www.guiatecnico.com.br/CodigoSeguro

Evidncia Digital - 28

NBSO NIC BR Security Office

Cursos do CERT /CC ministrados pelo NBSO

O NBSO um Software Engineering Institute Partner e est licenciado para ministrar oficialmente no Brasil quatro cursos do CERT/CC: Decrio do Cursos Creating a Computer Security Incident Response Team (CCSIRT) Curso de 1 dia destinado a lderes de projeto e gerentes que tenham recebido a tarefa de implementar um Grupo de Resposta a Incidentes de Segurana em Computadores (CSIRT). Este curso prov uma viso geral das questes chave e decises que devem ser consideradas durante o estabelecimento de um CSIRT. Como parte do curso os participantes desenvolvero um plano de ao que poder ser utilizado como ponto inicial do planejamento e implantao de seu prprio CSIRT. Maiores detalhes podem ser obtidos em http://www.nbso.nic.br/cursos/creating-a-csirt/ Managing Computer Security Incident Response Teams (MCSIRTs) Este curso de 3 dias destinado a atuais e futuros gerentes de Grupos de Resposta a Incidentes de Segurana em Computadores (CSIRTs). Neste curso as questes tcnicas so abordadas do ponto de vista gerencial. apresentada uma viso pragmtica das questes que sero enfrentadas ao gerenciar um CSIRT, bem como do tipo e natureza do trabalho que se espera que os membros de um CSIRT realizaro. Maiores detalhes podem ser obtidos em http://www.nbso.nic.br/cursos/managing-csirts/ Fundamentals of Incident Handling (FIH) Este curso de 5 dias, destinado ao pessoal tcnico de Grupos de Segurana e Resposta a Incidentes, foi desenvolvido de modo a definir e esclarecer a natureza do trabalho que um incident handler realiza. Ele prov uma viso geral sobre o cenrio do trabalho de tratamento de incidentes, incluindo os servios prestados pelo CSIRT, as ameaas dos invasores e a natureza das atividades de resposta a incidentes. Maiores detalhes podem ser obtidos em http://www.nbso.nic.br/cursos/fundamentals-inchandling/ Advanced Incident Handling for Technical Staff (AIH) Este curso de 5 dias baseia-se fortemente nas ferramentas e mtodos discutidos no curso Fundamentals of Incident Handling e fornece passos que incident handlers podem seguir para responder a incidentes de segurana que envolvam acesso privilegiado a sistemas e redes. Atravs de exerccios interativos, discusses e exerccios em grupo os instrutores auxiliam os participantes a identificar e analisar um conjunto de incidentes e vulnerabilidades e, ento, propor estratgias de resposta apropriadas. Os participantes tambm iro explorar outros aspectos do trabalho de um CSIRT, incluindo anlise de artefatos, desenvolvimento de advisories, alertas e interao com administrao superior. Maiores detalhes podem ser obtidos em http://www.nbso.nic.br/cursos/advanced-inchandling/ Estes cursos fazem parte do curriculum para o programa de certificao CERT Certified Computer Security Incident Handler. Pblico Alvo Estes cursos so destinados a profissionais atuantes em Grupos de Segurana e Resposta a Incidentes ou que estejam envolvidos com tratamento de incidentes de segurana. Instrutores Os instrutores dos cursos do NBSO detm a certificao CERT Certified Computer Security Incident Handler e slida formao em administrao e segurana de redes, alm de uma ampla experincia na rea de resposta a incidentes de segurana em computadores. Os instrutores foram aprovados e treinados pelo CERT/CC, na Carnegie Mellon University, para ministrar estes cursos. Informaes Adicionais Informaes adicionais podem ser encontradas na FAQ dos cursos do NBSO. Instituies que necessitarem informaes que no estejam disponveis em nenhuma das pginas mencionadas anteriormente, ou que queiram informaes sobre turmas fechadas dos cursos, podem enviar email para: cursos@nic.br
(SM) SEI is a service mark of Carnegie Mellon University. CERT and Carnegie Mellon are registered in the U.S. Patent and Trademark Office by Carnegie Mellon University.

Evidncia Digital - 29

Leonardo Cunha

Firew alls Pessoais em Ambientes Corporativos: Uma Necessidade?

No artigo intitulado A porta da segurana... ou da insegurana, publicado na edio n. 03 da Evidncia Digital Magazine, foi mencionado sobre a utilizao de firewalls pessoais Personals Firewalls - como mais uma forma para prover e aumentar a segurana de microcomputadores. Entretanto, esse assunto foi pouco explorado, o que possibilitou, atravs desse artigo, buscar a criao de uma discusso levantando questes de um tema polmico para a maioria dos administradores de rede sobre sua utilizao, nas estaes de trabalho, dos ambientes de redes corporativas. Com esse intuito, faz-se necessrio atender alguns princpios bsicos para garantir a segurana das mquinas dos usurios. Em primeiro lugar, sugere-se manter o sistema operacional (S.O.) atualizado e devidamente configurado, principalmente, se o S.O. for da Plataforma Windows, pois devido a sua popularidade, esse um dos sistemas mais visados para ataques. E com a finalidade de promover facilidades atualizao automtica de estaes de trabalho e at servidores que possuem os sistemas operacionais Microsoft Windows 2000, XP e 2003 Server, em uma rede local, pode-se utilizar, por exemplo, o Software Update Services (SUS) da Microsoft. O emprego desse tipo de servio atualizaes automticas d S.O.s e aplicativos em redes locais e promove muitas facilidades na rdua tarefa de administrar as estaes de trabalho e at os servidores dentro de um ambiente corporativo. Imagine o tempo que seria necessrio para que os funcionrios do Suporte de uma empresa, quando da divulgao de um novo patch para os S.O.s supracitados e aplicativos correlatos, realizem a instalao das atualizaes em cada estao de trabalho. O segundo princpio bsico seria garantir que cada estao de trabalho possui um antivrus corporativo instalado e que as mesmas estejam com a ltima verso disponvel das definies de vrus. O terceiro item, onde observa-se tambm a criticidade, seria preocupao com a escolha de senhas, pelos usurios e administradores de rede, que no sejam muito fceis de serem memorizadas por outros usurios, e que seja de difcil forma de adivinhao. Como todos sabem, existem outros princpios bsicos de segurana em ambientes corporativos, porm explorar-se-o numa outra oportunidade. Mas afinal, o que realmente vem a ser um firewall pessoal? Um firewall pessoal nada mais do que um aplicativo instalado em uma estao de trabalho que monitora as conexes de entrada e sada que so realizadas com o microcomputador, aceitando ou rejeitando as conexes, baseando-se em regras definidas pelo usurio e/ou pr-estabelecidas quando da realizao de sua instalao. Normalmente, sua configurao mais bem realizada com o seu uso, ou seja, suas regras vo sendo definidas pelo usurio on the fly, pois a cada nova tentativa de acesso solicita-se aceitao ou no de uma determinada tentativa de estabelecimento de uma conexo. No mercado, a variedade de softwares de firewall pessoal incluiu verses totalmente gratuitas, como exemplo, os firewalls pessoais mais conhecidos pelo pblico brasileiro: ZoneAlarm segue a URL para realizar o download da verso free 5.5.062.004 desse produto: http://download.zonelabs.com/bin/free/1012_zl/ zlsSetup_55_062_004.exe; Sygate Personal Firewall, o download da verso free 5.6.2808 pode ser realizado em: http://wcarchive.cdrom.com/pub/simtelnet/win95/ secsys/spf.exe; Tiny Firewall Pro 6, a verso Trial todas as funcionalidades habilitadas, contudo com expirao de utilizao em 30 dias pode ser obtido atravs da URL: http://www.tinysoftware.com/home/ tiny2/tf6. Alm das verses free e trial apresentadas, pode-se citar as verses comerciais do Norton Personal Firewall 2005, que pode ser adquiridas maiores informaes em: http://www.symantec.com/region/br/ product/npf/index.html e o McAfee Personal Firewall Plus, com maiores informaes sendo obtidas em: http://br.mcafee.com/root/package.asp?pkgid=103. Apesar desse tipo de aplicativo no ser to recente, sua popularizao data apenas dos meados de 2001, devido ao fato desse no ser trivial ao que se refere a sua configurao pela maioria dos usurios. Em contra partida, hoje, a interface para interao, cada vez mais contempla analogias favorveis ao cotidiano do usurio final. A popularizao desse tipo de ferramenta, tambm est sendo impulsionado pelo vertiginoso crescimento da utilizao da Web em todos os cantos do mundo e ao elevado nmero de usurios que esto se conectando a internet atravs de conexes de banda larga, seja

Evidncia Digital - 30

atravs de cable modem ou wireless, o que proporciona um link de praticamente 24x7 com a Internet. Pensando agora, somente nos usurios corporativos, cujo ambiente proteo contra ataques, entende-se ser maior devido ao emprego de outras tcnicas e/ou ferramentas disponibilizadas na rede corporativa, tais como, firewalls corporativos, seja por hardware ou software, Intrusion Detection Systems (IDS), Network Address Translation (NAT), servidores Proxy, entre outros. Revela-se que, apesar da existncia dessas ferramentas, que elevam a segurana desses ambientes, as estaes de trabalho ainda esto suscetveis a ataques. Apesar do firewall corporativo proteger os microcomputadores de acessos externos nossa rede, como ficam as tentativas de invases que so realizadas de dentro da empresa. Loucura? No! Note que diversas pesquisas apontam que a grande maioria das tentativas de ataques so realizadas de dentro da prpria empresa por funcionrios que de alguma forma esto insatisfeitos com o servio e/ou algum colega de trabalho. Nesse sentido, florescem algumas questes quando da possibilidade da utilizao de firewalls pessoais nas estaes de trabalho de uma rede corporativa para tentar minimizar as possibilidades desses ataques, a saber: No seria recomendvel que cada estao de trabalho de um ambiente de rede corporativa utilize um firewall pessoal? O usurio final estar familiarizado com esse tipo de aplicativo? Ele entende a sua linguagem? Como seria fornecido o suporte ao usurio? Acredito que a utilizao desse tipo de aplicativo nas estaes de trabalho extremamente importante, mesmo sabendo que o tema apresenta notria complexidade, pois envolve fatores como a implementao de uma possvel soluo para toda uma rede corporativa. Na realidade, o mais importante da utilizao desse tipo de software proporcionar aos usurios a possibilidade de conhecer todas as conexes que esto sendo realizadas do seu e para o seu microcomputador. Verifica-se, tambm, que instalar, configurar e gerenciar um firewall pessoal em apenas um microcomputador residencial todo microcomputador deve ter esse tipo de software instalado - no seria uma tarefa extremamente complicada. No entanto, imagine um ambiente empresarial com mais de 1.000 estaes de trabalho, onde cada usurio necessita de distintas configuraes. Como poderia ser realizado o gerenciamento dos infinitos tipos de conexes que um microcomputador pode realizar de forma automatizada e rpida? Saberiam os usurios alterar as configuraes desse software? E qual seria o Custo Total de Propriedade (TCO)? Como possibilitar o gerenciamento e configurao de cada firewall pessoal de forma prtica e automtica? Recentemente, a Microsoft liberou o SP2 do sistema operacional Windows XP, que incorporou melhorias

significativas no firewall que acompanha esse produto, dessa forma, imagina-se que a administrao centralizada do firewall nas estaes de trabalho ser muito facilitada com a adoo de uma nica plataforma. Seria possvel utilizar essas facilidades em estaes de trabalho com S.O. Linux num parque com mais de 1.000 microcomputadores? IPTABLES e SSH... Tendo em vista o papel do administrador de rede, fundamental que, alm de criar as facilidades necessrias para garantir a integridade dos dados do usurio, provocam-se questionamentos no que tange aos processos de gesto de TI. Como e onde armazenar, de forma ntegra, os arquivos que registram as conexes que foram aceitas ou rejeitadas arquivos de logs - em cada estao de trabalho? Existe a possibilidade de centraliz-los? Como garantir a integridade dos arquivos de logs? Como visto, esse artigo teve como objetivo principal apresentar os firewalls pessoais e discutir questes pertinentes sobre a sua utilizao em ambientes corporativos. Entretanto, acho que seria extremamente enriquecedor para todos os leitores desse artigo, com o surgimento de novos pontos que possam vir a contribuir para a discusso a cerca desse tema, que envie-me e-mail professor@leonardocunha.com.br, ou, diretamente, para a lista de discusso do Grupo Percia Forense Aplicada Informtica PericiaForense@yahoogrupos.com.br, quem sabe assim o nosso Grupo fomenta respostas a questo foco: necessrio utilizar firewalls pessoais em ambientes corporativos? OBS: A idia de escrever esse artigo surgiu de uma consultoria em segurana realizada em uma empresa, onde um determinado usurio estava supondo que um outro usurio acessava os seus arquivos pessoais. E qual foi o resultado da auditoria? O administrador da rede estava bisbilhotando o microcomputador alheio... Levando-me acreditar, ser necessrio que nos cursos tcnico e de graduao em informtica deveria ser adicionada uma cadeira sobre tica na informtica no currculo acadmico para melhor formao.

:: Leonardo Cunha :: professor@leonardocunha.com.br :: Analista de Sistemas da Prefeitura da Cidade do Rio de Janeiro e

Professor de Informtica da Fundao de Apoio a Escola Tcnica do Estado do Rio de Janeiro (FAETEC) e da Universidade Estcio de S (UNESA). Mestrando em Informtica, Ps-graduado em Anlise, Projeto e Gerncia de Sistemas, Tecnologia e Segurana de Banco de Dados e em Tecnologia e Segurana de Redes de Computadores.

Evidncia Digital - 31

Andrey R. Freitas

Links
: RFC 3227 - Guidelines for Evidence Collection and Archiving
Best Current Practice. http://www.faqs.org/rfcs/rfc3227.html

: RFC 2350 Expectations for Computer Security Incident Response

Best Current Practice. http://www.faqs.org/rfcs/rfc2350.html

: RFC 2828 Internet Security Glossary

Informational. http://www.faqs.org/rfcs/rfc2828.html

: RFC 2084 Considerations for Web Transaction Security

Informational. http://www.faqs.org/rfcs/rfc2084.html

: RFC 2196 Site Security Handbook

Informational. http://www.faqs.org/rfcs/rfc2196.html

: RFC 2504 Users Security Handbook

Informational. http://www.faqs.org/rfcs/rfc2504.html

: RFC 2323 IETF Identification and Security Guidelines

Informational. http://www.faqs.org/rfcs/rfc2323.html

: RFC 2179 Network Security for Trade Shows

Informational. http://www.faqs.org/rfcs/rfc2179.html

: RFC 2401 Security Architecture for the Internet Protocol

Standards Track. http://www.faqs.org/rfcs/rfc2401.html

: RFC 2630 Cryptographic Message Syntax

Standards Track. http://www.faqs.org/rfcs/rfc2630.html

Evidncia Digital - 32