O Processo de Investigação

(1)

Administração de Sistemas Administração de Sistemas

Investigação Forense Computacional

Investigação e Técnicas Forenses

Cássio D. B. Pinheiro

[email protected]

Santarém 2014

28/10/14 Forense Computacional - Cássio D. B. Pinheiro 2

Objetivos

▸

Apresentar as fases do processo de

investigação de cibercrimes, assim como

algumas de suas técnicas, métodos e

ferramentas.

▸

Nesta aula o aluno deverá interagir com as

(2)

▸

Descobrindo Imagens Escondidas

● Na página da disciplina.

▪ https://sites.google.com/site/pwscassio/atividades/investi

gacao-forense-computacional

● Faça download do arquivo IFC-Img.doc.

▪ https://sites.google.com/site/pwscassio/atividades/investi

gacao-forense-computacional/IFC-Img.doc? attredirects=0&d=1

● Tente descobrir as imagens escondidas.

▪ Dicas:

▹ Busque informações sobre objetos em documentos de texto. ▹ Alterne entre os objetos até encontrar “algo estranho”.

Sumário

▸

O Processo de Investigação

▸

Coleta dos Dados

▸

Exame dos Dados

▸

Análise das Informações

▸

Resultados Obtidos

(3)

▸

Fases de um Processo

O Processo de Investigação

▸ Práticas que Antecedem a Coleta dos Dados

● Esterilizar todas as mídias que

serão utilizadas ou usar mídias novas a cada investigação;

● Verificar se de que todas as

ferramentas (softwares) estão devidamente licenciadas e homologadas;

● Verificar se todos os

equipamentos e materiais

necessários estão a disposição;

(4)

▸

Práticas que Antecedem a Coleta dos Dados

● Determinar, no local da investigação, que nada seja tocado sem o consentimento da equipe de peritos, objetivando a proteção das evidências;

● Registrar detalhes sobre os equipamentos - marca, modelo, números de série, componentes internos, periféricos, e outros;

● Estas ações devem ser complementadas pela manutenção da cadeia de custódia.

Coleta dos Dados

▸

Identificação de Possíveis Fontes de Dados

● Coleta imediata na cena em dispositivos periféricos.

▪ Computadores pessoais,

laptops;

▪ Dispositivos de

armazenamento em rede;

▪ CDs, DVDs;

▪ Máquina Fotográfica, Flash

(5)

▸

Identificação de Possíveis Fontes de Dados

● Em locais fora da cena investigada, a coleta dos dados somente será possível mediante ordem judicial.

▪ Provedores de Internet; ▪ Servidores Corporativos; ▪ Servidores FTP.

Coleta dos Dados

▸

Após a identificação das possíveis origens dos

dados, é necessário adquiri-los, em um

processo composto por três etapas:

● Identificação de prioridade;

● Cópia dos dados;

● Garantia e

(6)

▸

Identificar a Prioridade da Coleta

● Estabelecer a ordem (prioridade) na qual os dados devem ser coletados.

▪ Volatilidade - Dados voláteis devem ser imediatamente

coletados. P.ex. O estado das conexões de rede e o conteúdo da memória.

▪ Esforço - Envolve não somente o tempo gasto, mas

também o custo dos equipamentos e serviços de terceiros. P.ex. Dados de um roteador da rede local versus os de um provedor de Internet.

▪ Valor Estimado - Estimar um valor relativo para cada

provável fonte de dados, para definir a sequência na qual as fontes serão investigadas.

Coleta dos Dados

▸

Copiar Dados

● Envolve a utilização de ferramentas para a duplicação dos dados.

● Exemplos:

▪ Utilitário dd (Linux), usado para coletar os dados voláteis

e para a duplicação das fontes não-voláteis.

▪ RoadMASSter II - Pentium 4 3.2 Ghz; 2 GB de RAM;

(7)

▸

RoadMASSter II

Coleta dos Dados

▸

Garantir e Preservar a Integridade dos Dados

● Operação complementar a coleta dos dados.

● Se não for garantida a integridade as evidências poderão ser invalidadas como provas perante a justiça.

● Consiste no uso de ferramentas que aplicam algum algoritmo hash_.

(8)

▸

Formulário de Cadeia de Custódia – Parte 1

Coleta dos Dados

(9)

▸

Voláteis

● Primeira ação - Manter o estado do equipamento, observando a data e hora do sistema.

● Os sistemas operacionais oferecem recursos que permitem visualizar informações sobre as

conexões de rede atuais.

Coleta dos Dados

▸

Voláteis

● A lista das informações dos usuários atualmente conectados podem ajudar na identificação dos usuários, das ações realizadas, do horário em que essas atividades foram executadas.

● O espaço de troca e a memória principal normalmente contêm os dados acessados recentemente:

▪ Senhas e os últimos comandos executados;

▪ Resíduos de dados nos espaços livres ou que não estão

(10)

▸ Voláteis

● A listagem dos processos em execução permite

análise o estado de cada um dos processos do sistema.

● Informações sobre os programas dos usuários são

obtidas na lista de Arquivos Abertos.

● As configurações de rede incluem informações

como o nome da máquina, o endereço IP e o MAC de cada uma das interfaces de rede.

Coleta dos Dados

▸

Voláteis

● As cópias lógicas (Backups) gravam conteúdo

de diretórios e os arquivos de um volume. Não capturam dados de:

▪ Arquivos excluídos;

▪ Fragmentos de dados armazenados nos espaços

não utilizados, mas alocados por arquivos.

● A imagem do disco, ou imagem bit-a-bit, inclui

os espaços livres e os espaços não utilizados:

▪ Maior espaço de armazenamento, com maior

consumo de tempo;

▪ Permitem a recuperação de arquivos excluídos e

(11)

▸

Não Voláteis

● A principal fonte de dados não-voláteis é o sistema de arquivos.

● Alguns arquivos temporários não são excluídos ao desligar os equipamentos.

● Os arquivos de Log registram diversos eventos relacionados ao sistema.

● Os arquivos de hibernação contêm dados sobre a memória do dispositivo e os arquivos em uso.

Coleta dos Dados

▸

Não Voláteis

● Os arquivos de configuração fornecem informações como:

▪ Lista dos serviços que devem ser ativados durante o

processo de inicialização;

▪ Localização de arquivos de log, a relação de grupos e

usuários do sistema, e outros.

● O arquivo de swap fornece dados sobre

(12)

▸

Não Voláteis

● É muito importante manter a integridade dos atributos de tempo.

● MAC Times.

▪ mtime (modification), ▪ atime (access) e ▪ ctime (creation)

Coleta dos Dados

▸

Ferramentas

● dd (Disk Definition)

● dcfldd (Department of Defense Computer Forensics Lab Disk Definition) - Versão aprimorada do dd, com mais funcionalidades:

▪ Geração do hash dos dados durante a cópia dos

mesmos;

(13)

▸

Ferramentas

● Automated Image & Restore (AIR) - Interface gráfica para os comandos dd e dcfldd.

▪ Gera e compara automaticamente hashes MD5 ou SHA; ▪ Produz um relatório contendo todos os comandos

utilizados durante a sua execução;

▪ Elimina o risco da utilização de parâmetros errados por

usuários menos capacitados.

Coleta dos Dados

(14)

▸

Outras Ferramentas

● gnome-screenshot - Salvar imagens da àrea de trabalho ou de janelas individuais.

● aimage - Geração de imagem dos dados das mídias utilizando o padrão aff.

● dc3ddgui - Interface gráfica para O DC3DD, para criar imagens forense.

● dcfldd - Versão aprimorada pelo DoD-Departament of Defense do dd.

Coleta dos Dados

▸

Outras Ferramentas

● dd - Ferramenta para geração de imagem dos dados.

● ddrescue - Recuperar dados de HDs com setores defeituosos (bad blocks).

● mondoarquive - Copiar dados de fitas, CD's, NSF ou HD's.

● mondorestore - Restaurar dados de fitas, CD's, NSF ou HD's.

(15)

▸

Outras Ferramentas

● rddi - Prompt interativo do rdd.

● sdd - Versão da ferramenta dd para Fitas (DAT, DLT…).

● memdump - Dumper de memória para sistemas UNIX-like.

● md5sum - Gerar hash md5.

● sha1sum - Gera hash sha 160bits.

Coleta dos Dados

▸

Outras Ferramentas

● discover - Informações sobre Hardware.

● hardinfo - Informações e Testes do Sistema.

● lshw-gráfico - Lista os dispositivos de hardware em formato HTML.

● sysinfo - Mostra informações do computador e do sistema.

(16)

▸

Objetiva avaliar e extrair somente as

informações relevantes à investigação.

● Dificultam a tarefa:

▪ Capacidade de armazenamento dos dispositivos atuais; ▪ Diversidade de formatos de arquivos.

● As informações irrelevantes devem ser filtradas.

● Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados.

Exame dos Dados

▸

A correta aplicação das ferramentas e técnicas

disponíveis pode reduzir muito a quantidade de

dados para exame minucioso.

● Utilização de filtros de palavras-chave (com ou sem expressões regulares);

● Utilização de filtros de arquivos, por: Tipo,

(17)

Procedimentos

● Tem a finalidade de localizar, filtrar e extrair somente as informações que possam contribuir para a reconstrução dos eventos que deram origem à investigação.

● A extração manual dos dados é um processo difícil e demorado:

▪ Exige do perito conhecimento aprofundado,

principalmente, sobre o sistema de arquivos;

▪ Existem algumas ferramentas disponíveis que podem

automatizar algumas fases do processo.

Exame dos Dados

▸

Procedimentos

● Após a restauração da cópia dos dados, é feito o exame dos dados coletados e a avaliação dos dados encontrados, descrevendo:

▪ Arquivos que haviam sido removidos e foram

recuperados;

▪ Arquivos ocultos;

▪ Fragmentos de arquivos encontrados nas áreas não

alocadas;

▪ Fragmentos de arquivos encontrados em setores

(18)

▸

Localização de Arquivos

● O perito não deve se basear apenas na extensão de arquivos (Windows).

● Arquivos podem armazenar outros dados (esteganografia em audio, vídeo e imagem).

● Usuários “espertos” podem modificar a extensão.

▪ Usar ferramentas de análise de cabeçalhos (“assinatura

de arquivo”).

Exame dos Dados

▸

Localização de Arquivos

● A criptografia está frequentemente presente entre os desafios enfrentados.

▪ Pode ser feita em arquivos, pastas, volumes ou

partições;

▪ Em alguns casos não é viável descriptografar esses

(19)

▸

Localização de Arquivos

● Arquivos ocultos em outros.

▪ Para identificar o uso de esteganografia, normalmente

se utiliza histogramas.

▪ A presença de programas de esteganografia é uma

evidência de que arquivos podem ter sido esteganografados.

▪ Uma vez determinada a presença de arquivos que

tenham sido submetidos à esteganografia, é importante empregar técnicas de esteganoanálise.

Exame dos Dados

(20)

▸

Ferramentas

● Outra prática vantajosa é usar ferramentas que possam determinar padrões para cada tipo de arquivo.

▪ Úteis para identificar e filtrar arquivos que tenham sido

manipulados por ferramentas de esteganografia, arquivos de sistema, imagens de pedofilia, etc.

▪ National Software Reference Library (NSRL)

▹ Contêm uma coleção de assinaturas digitais referentes a milhares de arquivos.

▹ www.nsrl.nist.gov

Exame dos Dados

▸

Ferramentas

● Diversas ferramentas já permitem a utilização dos bancos de dados do NSRL, por exemplo:

▪ EnCase;

(21)

▸

Outras Ferramentas

● cabextract - Acessar conteúdo de arquivos .cab.

● orange - Ferramenta para manipular arquivos .cab.

● p7zip - Acessar arquivos zip.

● unace - Ferramenta para descompactar extensões .ace.

● unrar-free - Ferramenta para descompactar arquivos rar.

Exame dos Dados

▸

Outras Ferramentas

● unshield - Ferramenta para descompactar arquivos CAB da MS.

● xarchiver - Criar, modificar e visualizar arquivos compactados.

● zoo - Acessar arquivos compactados .zoo.

● dcraw - Acessar imagens cruas de câmeras digitais.

(22)

▸

Outras Ferramentas

● exifprobe - Exame do conteúdo e da estrutura dos arquivos de imagens JPEG e TIFF.

● exiftran - Transformar imagens raw de câmeras digitais.

● exiftags - Adquirir informações sobre a câmera e as imagens por ela produzidas.

● exiv2 - Manipular metadados de imagens.

● jhead - Visualizar e manipular os dados de cabeçalhos de imagens jpeg.

Exame dos Dados

▸

Outras Ferramentas

● jpeginfo - Ferramenta para coletar informações sobre imagens jpeg.

● antiword - Ferramenta para ler arquivos do MS-Word.

● dumpster - Acessar os arquivos da lixeira do Windows.

● fccu-docprob - Ferramenta para visualizar as propriedades de arquivos OLE.

(23)

▸

Outras Ferramentas

● readpst - Ferramenta para ler arquivos do MS-Outlook.

● reglookup - Utilitário para leitura e resgate de dados do registro do Windows.

● regp - Acessar o conteúdo de arquivos .dat.

● tnef - Acessar anexos de email's MS.

● bcrypt - Encriptar e decriptar arquivos usando o algoritmo blowfish.

Exame dos Dados

▸

Outras Ferramentas

● ccrypt - Encriptar e decriptar arquivos e streams.

● outguess - Detectar dados ocultos em imagens JPG.

● stegcompare - Comparar imagens jpeg e detectar a existência de steganografia.

(24)

Outras Ferramentas

● xsteg - Ferramenta gráfica para detectar steganografia em imagens jpeg.

● ghex2 - Visualizar arquivos em formato HEX.

● hexcat - Visualizar arquivos em formato HEX.

● ghexdump - Visualizar arquivos em formato HEX.

● affcat - Verificar conteúdo de arquivos .aff sem montar.

Exame dos Dados

▸

Outras Ferramentas

● afcompare - Comparar dois arquivos .aff.

● afconvert - Converte aff -> raw, raw -> aff, aff -> aff recompactando-o.

● afinfo - Visualizar estatísticas sobre um ou mais arquivos aff.

● afstats - Visualizar estatísticas sobre um ou mais arquivos aff.

(25)

▸

Outras Ferramentas

● dcat - Localizar dados dentro de arquivos dd, aff, ewf.

● glark - Ferramenta semelhante ao grep para localizar dados.

● gnome-search-tool - Ferramenta gráfica de localização de arquivos.

● slocate - Localiza arquivos e indexa os disco.

● mac-robber - Coletar dados de arquivos para criar a linha de tempo (timeline).

Exame dos Dados

▸

Outras Ferramentas

● mactime - Cria uma linha do tempo ASCII das atividades dos arquivos.

● ntfscat - Concatenar arquivos e visualizá-los sem montar a partição NTFS.

● ntfsclone - Clonar um sistema de arquivos NTFS ou somente parte dele.

● ntfscluster - Localizar arquivo dentro de cluster ou de vários clusters NTFS.

(26)

▸

Outras Ferramentas

● ntfslabel - Verificar ou alterar a descrição de partições NTFS.

● ntfsls - Lista o conteúdo de diretórios em partições NTFS sem montá-los.

● fcrackzip - Ferramenta para quebrar as senhas de arquivos compactados em ZIP.

● john the ripper - Ferramenta para localizar senhas de usuários.

● medussa - Crack de senhas.

Exame dos Dados

▸

Outras Ferramentas

● ophcrack - Crack de senhas do Windows.

● e2undel - Ferramenta para recuperar arquivos em partições ext2.

● fatback - Ferramenta para recuperar dados de sistemas de arquivos FAT.

● foremost - Ferramenta para recuperação de imagens a partir dos cabeçalhos.

(27)

▸

Outras Ferramentas

● magicrescue - Recuperação de imagens RAW, baseando-se nos cabeçalhos.

● ntfsundelete - Recuperar arquivos deletados em partições NTFS.

● recover - Ferramenta para recuperar todos inodes deletados de um disco.

● recoverjpg - Ferramenta para recuperar imagens jpg.

● scrounge-ntfs - Ferramenta para recuperar dados de partições NTFS.

Exame dos Dados

▸

Outras Ferramentas

● chkrookit - Ferramenta para identificar a presença de rootkits no sistema.

● rkhunter - Ferramenta para identificar a presença de rootkits no sistema.

● fspot - Organizador de imagens fotos.

● gthumb - Visualizar e organizar imagens.

(28)

▸

Objetiva identificar pessoas, locais e

eventos; e determinar como esses

elementos estão inter-relacionados.

▸

Etapa de análise e interpretação das

informações feita após a extração dos

dados considerados relevantes.

▸

Usa registros gerados por firewalls,

sistemas de detecção de intrusão e demais

mecanismos de proteção.

▸

Normalmente é necessário correlacionar

informações de várias fontes de dados.

Análise das Informações

▸

Pode consumir muito tempo.

● Está muito suscetível a equívocos, pois depende da experiência e do conhecimento do perito.

● Poucas ferramentas realizam análise de informações com precisão.

● Exemplo: Um indivíduo tenta realizar um acesso não autorizado a um determinado servidor.

▪ É possível identificar por meio da análise dos registros

de log o IP de onde foi originada a requisição de acesso.

▪ Uma ferramenta de trace pode encontrar o local

(29)

▸

Procedimentos

● Os procedimentos e conclusões sobre as análises realizadas devem ser devidamente registradas e anexadas ao laudo pericial.

● A escolha das ferramentas a serem utilizadas nesta fase depende do caso. P.ex. ataque ou tentativa de invasão.

▪ Identificação da origem do ataque (endereço IP) e do

responsável.

▪ Quando o responsável pelo endereço do atacante é um

ISP, será necessária a solicitação de um mandado judicial, para obter informações.

Análise das Informações

▸

Ferramentas

● Construção da linha de tempo dos eventos.

▪ Mactime (Componente do SleuthKit).

● Navegação em arquivos da estrutura do SO.

▪ Pasco - Analisa os índices dos arquivos do Internet

Explorer

▪ Galleta - Analisa os cookies existentes e separa as

(30)

▸

Outras Ferramentas

● coockie_cruncher - Analisar coockies.

● fccu-evtreader - Script perl para visualizar arquivos de eventos da MS (EVT).

● GrocEVT - Coleção de scripts construídos para ler arquivos de eventos do Windows.

● mork - Script perl para visualizar arquivos history.dat do firefox.

Análise das Informações

▸

Outras Ferramentas

● eindeutig - Analisar arquivos .dbx.

● galleta - Analisar coockies do Windows.

● pasco - Analisar cache do IExplorer.

● rifiuti - Analisar arquivos INF2 da MS.

(31)

▸

A interpretação dos resultados é a etapa

conclusiva da investigação.

▸

Tem como objetivo a construção do Laudo

Pericial.

▸

O Laudo Pericial deve:

● Apresenta uma conclusão imparcial e final a respeito da investigação;

● Ser escrito de forma clara, concisa e precisa, detalhando todas as evidências localizadas e analisadas.

Resultados Obtidos

▸

Elementos do Laudo Pericial

● Para que torne-se um documento de fácil

interpretação é indicado que seja organizado em:

▪ Identificação do Autor e Organização; ▪ Finalidade da investigação;

▪ Resumo do incidente;

▪ Relação de evidências analisadas; ▪ Conclusões;

(32)

▸

Elementos do Laudo Pericial

●

Identificação do Autor e Organização.

▪ Listar todos os autores e co-autores, incluindo

suas especialidades, responsabilidades e informações para contato.

●

Finalidade da investigação.

▪ Explicar claramente os objetivos do laudo.

Resultados Obtidos

▸

Elementos do Laudo Pericial

● Resumo do Incidente

▪ Síntese do incidente investigado, suas conseqüências e

fatores relacionados.

● Relação de evidências analisadas:

▪ O estado das evidências - Como, quando e por quem

elas foram adquiridas no decorrer das investigações (cadeia de custódia).

▪ Quais evidências foram analisadas, quais os métodos

(33)

▸

Elementos do Laudo Pericial

● Conclusões.

▪ Os resultados devem ser somente descritos, citando as

evidências que comprovem as conclusões.

▪ Deve ser clara e não oferecer dupla interpretação.

● Anexos.

▪ Diagramas da rede, formulários dos procedimentos,

formulários de cadeia de custódia

▪ Informações gerais sobre as tecnologias envolvidas. ▪ Conteúdo dos dados encontrados.

Resultados Obtidos

▸

Procedimentos

● Objetivam à organização da documentação necessária para a confecção do laudo pericial:

▪ Reunir documentos e anotações gerados nas etapas de

coleta, exame e análise dos dados, incluindo as conclusões prévias já alcançadas;

▪ Identificar os fatos que fornecerão suporte às conclusões

descritas no laudo pericial;

▪ Criar uma lista de todas as evidências analisadas, para

que as mesmas sejam classificadas, organizadas e enumeradas;

(34)

▸

Objetivos

● Destruir, ocultar ou modificar as evidências existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores.

● Além da destruição lógica, o atacante pode danificar fisicamente as mídias utilizadas.

● Também podem ser usadas antes de venda ou doação de mídias a outras pessoas (evita

recuperação de dados).

Ferramentas Anti-Forense

▸

Destruição dos Dados

● Para impedir ou pelo menos dificultar a

recuperação dos dados, são utilizadas ferramentas conhecidas como wiping tools.

▪ Wipe.

▪ Secure-Delete. ▪ PGP Wipe.

(35)

▸

Destruição dos Dados

● Ferramentas de destruição de dados empregam uma variedade de técnicas para sobrescrever o conteúdo dos arquivos.

▪ Sobrescrita de bits “1”. ▪ Sobrescrita de bits “0”.

▪ Sobrescrita de bits aleatórios.

▪ Combinação das anteriores N vezes.

Ferramentas Anti-Forense

▸

Ocultação dos Dados

● Os dados de um arquivo podem ser escondidos pelo menos de duas formas:

▪ Fragmentando um arquivo e armazenando esses

fragmentos em espaços não alocados ou naqueles marcados como badblocks;

▪ Usando recursos como Alternate Data Stream (ADS),

(36)

▸

Ocultação dos Dados

● Criptografia e esteganografia podem ser aplicados em arquivos.

▪ Implementam uma barreira difícil de ser superada. ▪ Usar esteganoanálise em uma mídia de 80GB requer

muito tempo e na prática nem sempre é algo viável.

▪ O mesmo ocorre quando se trata de arquivos

criptografados.

● Os RootKits implementam métodos eficientes para ocultar informações como arquivos e dados.

Ferramentas Anti-Forense

▸

Modificação dos Dados

● Os métodos mais comuns para realizar a modificação dos dados são:

▪ Alterar a extensão dos arquivos.

▪ Alterar o conteúdo do cabeçalho dos arquivos. ▪ Alteração dos atributos de tempo.

▹ Ferramentas como touche timestamp. ▹ Ataques de colisão em hash do tipo MD5.

● Ferramentas: