Figura 3.2 - Sistemas antes da instalação do sistema invisível
Considerando a comunicação entre o sistema da análise e o sistema alvo, há a necessidade de desenvolvimento além do sistema invisível no alvo, um sistema na análise de modo a receber, validar e disponibilizar os registros aos agentes da investigação.
A fig. 3.2 ilustra as características dos sistemas na máquina de análise e na máquina alvo antes dos mesmos realizarem a aquisição de áudio. Os sistemas ilustrados são os que devem estar disponíveis na máquina análise e prontos para serem instalados na máquina do alvo.
No sistema de análise será gerado um par de chaves, Kanalise e Kalvo, do esquema RSA, onde Kanalise é a chave privada da análise e Kalvo a chave pública da análise, que será incluída no código do sistema invisível no alvo. Além da chave Kalvo o sistema da máquina alvo terá um número que o identifica, que será doravante referido por AID, sendo este inalterado durante todo o processo e um número de versão, que será doravante referido por
V, que identifica a versão do sistema instalado na máquina alvo, sendo que este número é
alterado a cada alteração realizada no sistema na máquina alvo. A chave Kalvo, e os números AID e V são incluídos no código do sistema da máquina do alvo.
ALVO
ANÁLISE
Geração de Chave Privada e Pública (Kanalise) e (Kalvo) Função: Gera HWIDSistema em modo invisível
Kalvo
Capacidade Mutante Comunicação Comunicação
O sistema na máquina alvo deve ser capaz de obter informações do hardware e características do sistema operacional e gerar um número com base nessas informações; esse número será doravante chamado de HWID.
O relógio do sistema na máquina alvo deve ser atualizado através de um servidor de NTP. Todas as vezes que o sistema na máquina alvo inicializar este deverá consultar o servidor
NTP a fim de identificar o horário a ser considerado, em seguida calcula a diferença entre o
horário obtido do servidor de NTP e o horário do hardware da máquina alvo e armazena esta diferença em memória de massa, sendo que essa diferença será doravante referida por
DIFtempo. Uma vez existente o DIFtempo no sistema da máquina do alvo, caso a máquina do alvo não tenha disponível conexão com Internet no momento da inicialização, o
DIFtempo poderá ser utilizado para estimar o horário do servidor NTP com base no horário local da máquina do alvo. Logo na instalação do sistema invisível na máquina do alvo o valor de DIFtempo será zero, e logo após a instalação o sistema na máquina alvo tentará realizar conexão com o servidor NTP e em caso de sucesso atualizará o DIFtempo. O servidor de NTP utilizado pode estar disponível na própria máquina de análise, caso o sistema da máquina do alvo não consiga conexão com a máquina de análise poderá tentar conexão com outros servidores de NTP disponíveis na Internet.
A comunicação entre o sistema na máquina alvo e o sistema na máquina análise é feita sempre através de uma solicitação do sistema na máquina alvo, que possui em seu código o endereço IP da máquina da análise. As comunicações são feitas de forma similar às comunicações feitas pelos navegadores nas quais o sistema da máquina do alvo solicita ao sistema de análise instruções a serem executadas. O sistema da máquina de análise nunca abre comunicação com o sistema da máquina do alvo de modo a evitar detecções. Considerando que as instruções são enviadas pelo sistema da máquina de análise e que o mesmo não inicia qualquer conexão com o sistema da máquina alvo, o sistema da máquina do alvo deve em intervalos de tempos definidos fazer uma verificação no sistema da máquina de análise se há alguma instrução a ser executada, esse intervalo de tempo pode ser alterado e inicialmente é definido em 5 minutos. O sistema da máquina alvo mantém em seu módulo de comunicação um log de eventos de forma a identificar toda a comunicação entre sistema da máquina alvo e sistema da máquina de análise, bem como as
instruções enviadas pelo sistema da máquina de análise, possibilitando que posteriormente seja feita auditoria no sistema identificando todas as ações executadas.
O sistema da máquina alvo será mutante, ou seja terá a funcionalidade de alterar algumas funções internas, ou até mesmo o sistema completamente. Essa funcionalidade possibilitará a instalação de funções e tende a reduzir a possibilidade de ataque através de engenharia reversa, além de possibilitar a atualização periódica da chave Kalvo e das demais variáveis do sistema.
3.3.1. Plugins disponíveis para instalação no sistema alvo
O sistema na máquina alvo, inicialmente deve ser o menor possível, sendo basicamente um
downloader de modo a tornar rápido e imperceptível o download e instalação. Porém, é
necessário que as funcionalidades básicas estejam disponíveis para que o sistema possa atender aos requisitos. A capacidade mutante do sistema da máquina alvo lhe permite dentre outras coisas, instalar módulos de funcionalidades que estarão disponíveis no sistema na máquina de análise.
Um dos módulos a ser instalado no sistema da máquina do alvo tem a função de obter informações da máquina do alvo. O referido m deverá ser capaz de obter informações relativas aos dispositivos de som instalados, como marca, modelo, endereçamento, interrupção, bem como informações dos drivers instalados no sistema operacional que acessam esses dispositivos. Além dos dispositivos de áudio é importante que se tenha conhecimento dos dispositivos de rede instalados na máquina alvo bem como a largura de banda disponível, isso auxiliará na decisão da forma mais adequada para a transmissão dos dados; também quais as características do hardware da máquina alvo tais como processador, quantidade de memória volátil e quantidade de memória de masa, utilizada e disponível. Os detalhes de memória de massa são relevantes para a determinação da “autonomia” de gravação e da necessidade ou não de compactação dos dados obtidos. Além do módulo para obtenção das informações da máquina alvo, existem os outros módulos para aquisição do áudio, codificação, criptografia, dentre outros que serão abordados em seções específicas nesse trabalho.