Paulo Alberto Neukamp
FDTK-UbuntuBr
Forense Digital ToolKit
Motivação para criar a distro;
Dificuldades;
Como foi feito;
Testes realizados;
O que foi feito até o TCC;
O que foi feito após TCC;
etc.
28/09/08 3
Costruir uma distribuição que reúna as melhores ferramentas Linux disponíveis para a prática Forense Digital, estruturadas em conformidade com as técnicas recomentadas pelas melhores
práticas internacionais.
Motivação
FDTK-UbuntuBr é um Live CD que também pode ser instalado;
Criada a partir da distribuição Ubuntu 7.04;
Focada em Forense Computacional;
Utiliza o ambiente gráfico GNOME;
Portada para o Português Brasil (pt_BR);
Agregar as principais características de todas as distribuições estudadas (BackTrack, PHLAK, Auditor, Helix, F.I.R.E, nUbuntu, INSERT...);
Possui menus estruturados de acordo com as etapas estudadas;
Utilização profissional;
Utilização no ensino e formação de novos profissionais.
28/09/08 5
Acesso a bibliografia;
Pouco conhecimento em Linux;
Pouco tempo disponível;
Pouca de infra-estrutura;
Dificuldades
28/09/08 6
Bibliografia Utilizada
Livros
Real Digital Forensics: Computer Security and In Response
Keith J. Jones, Richard Bejtlich, Curtis W. Rose;
Perícia Forense Computacional - Dan Farmer e Witse Venema; Digital Evidence and Computer Crime - Eoghan Casey;
Sites
FBI – Federal Boreau of Investigation;
NIST – National Institute of Standards and Technology CSRC Computer Security Resource Center;
The Computer Crime and Security Survey;
CSRC-NIST - Computer Security Resource Center of National Institute of Standards and Tecnology;
28/09/08 7
Compra de HD’s;
Máquinas para testes;
Compra de cabos adaptadores;
Dificuldade em conseguir dados para estudos;
Acesso a servidores;
Casos para analizar;
Infra-estrutura
Busca de conhecimento no Site da distribuição;
Busca na rede (comunidades e Blog’s);
Desenvolvimento em etapas para alcançar a meta final;
Tradução para o PTbr (UCK); Montar os Menus;
Fazer os scripts (Programas); Selecionar ícones;
Personalizar;
Colocar as coisas nos seus devidos lugares; Acertar permissões;
Testes ( ………MUIIIIIIIIIIITOS………TESTES……….…………)
28/09/08 9
UCK – Ubuntu Customization Kit V 2.0.3
http://sourceforge.net/projects/uck/
Com o UCK é possível realizar mudanças na ISO limitadas a linha de comando e synaptic;
Remover linguagens indesejadas e instalar somente a preferida; Instalar pacotes pelo synaptic;
Fazer qualquer alteração no sistema via linha de comando;
28/09/08 11
28/09/08 13
28/09/08 15
28/09/08 17
28/09/08 19
28/09/08 21
28/09/08 23
28/09/08 25
28/09/08 27
Reconstructor V 2.8
http://reconstructor.aperantis.com/
Com o Reconstructor é possível realizar algumas mudanças a mais do que com o UCK;
Remover linguagens indesejadas e instalar somente a preferida; Instalar pacotes pelo via linha de comando;
Fazer qualquer alteração no sistema via linha de comando;
Remover todos os arquivos desnecessários ao final da compilação; Não é necessário refazer toda o processo do inicio;
Módulos prontos;
28/09/08 49
Foram criados 6 scripts para automatizar o processo de
compilação
ufdtk1.sh ufdtk2.sh instalar.sh remover.sh ufdtk2-clean.sh ufdtk3.sh28/09/08 75
Scripts para os atalhos
afcat.sh afcompare.sh afconvert.sh affix.sh afinfo.sh afstats.sh afxml.sh aimage.sh antiword.sh arj.sh autopsy.sh bcrypt.sh biew.sh blktool.sh cabextract.sh ccrypt.sh chkrootkit.sh chntpw.sh cookie_cruncher.pl cookie_cruncher.sh dcat.sh dcfldd.sh dcraw.sh dd_rescue.sh ddrescue.sh dd.sh discover.sh disktype.sh
dumpster_dive.pl dumpster.sh e2undel.sh eindeutig.sh exifgrep.sh exifprobe.sh exif.sh exiftags.sh exiftran.sh exiv2.sh fatback.sh fccu-docprop.sh
fccu.evtreader.pl fccu.evtreader.sh infile-search.sh search-files.sh fccu-sorter.sh fcrackzip.sh foregone.pl foremost.sh Formulario.xls galleta.sh glark.sh gzrecover.sh hexcat.sh hexdump.sh imageindex.sh jhead.sh john.sh jpeginfo.sh lshw- web.sh mac-robber.sh mactime.sh magicrescue.sh md5sum.sh
mdb-header.sh mdb-hexdump.sh medussa.sh mork.pl Mork.sh mscompress.sh msexpand.sh ms-sys.sh nepenthes.sh ntfscat.sh ntfsclone.sh ntfscluster.sh
ntfsfix.sh ntfsinfo.sh ntfslabel.sh ntfsls.sh ntfsundelete.sh orange.sh outguess.sh p7zip.sh pasco.sh pdftk.sh pyflag.sh rdd.sh readpst.sh recoverjpg.sh recover.sh regp.pl regp.sh regtool.sh rifiuti.sh rkhunter.sh scrounge-ntfs.sh sdd.sh
sha1sum.sh slocate.sh stegbreak.sh stegcompare.sh stegdeimage.sh
stegdetect.sh testdisk.sh tnef.sh unace.sh unrar.sh unshield.sh unzip.sh wipe.sh zoo.sh
O que foi feito após o TCC
Desenvolvida uma versão para ser executada a partir do Pendrive e documentação disponibilizada no site da distro;
http://www.fdtk.com.br/files/fdtk-usb.doc
Lançada a V.2.01 da distro baseada no Ubuntu 8.04 (12 nov.);
Parceria com Aderbal Botelho ( Maceio) consultor Debian (14 anos);
Registro de domínio fdtk.com.br;
Nova home page http://fdtk.com.br;
A distro foi utilizada como base em um treinamento ministrado pelo Aderbal a uma turma de peritos do Exercito Brasileiro em Novembro (Brasília);
28/09/08
Lançada em 12 de Novembro de 2008;
Nova interface;
Não utiliza SWAP;
Não monta automaticamente as unidades de disco encontradas;
Menus totalmente reescritos (XML);
Adicionadas algumas novas ferramentas (Ex. dc3dd);
Remoção do pyFLAG (incompatibilidade);
O que foi feito na versão 2.01
O que ainda precisa ser feito!!!
Montar um pacote de execução na plataforma MS (sem instalação)
Traduzir algumas ferramentas;
Traduzir documentação de algumas ferramentas;
Criar alguns Howto’s;
Criar um logo e padronizar cores e emblemas;
Testes:
28/09/08 101
Publicação na Dicas-L no dia 07/12/2007
http://www.dicas-l.com.br/dicas-l/20071207.php
Projeto no codigolivre.org = 2341 downloads até 30/09/2008
http://fdtk.codigolivre.org.br/
Disponibilização no FTP da Unicamp = + de 3000 downloads
ftp://ftp.unicamp.br/pub/linux/iso/fdtk-ubuntu-br/fdtk-ubuntubr-V1.1.iso
Aprovação de um Minicurso no SBseg 2007;
Convite para palestrar no 1º Meeting de Segurança da Informação –
SENAI/CTAI – Florianópolis - SC.
Diversos blog’s comentando e analizando a distro;
