Docsity
Docsity

Prepare-se para as provas
Prepare-se para as provas

Estude fácil! Tem muito documento disponível na Docsity


Ganhe pontos para baixar
Ganhe pontos para baixar

Ganhe pontos ajudando outros esrudantes ou compre um plano Premium


Guias e Dicas
Guias e Dicas


ferramentas forense computacional, Notas de estudo de Cultura

ferramentas forense computaciona

Tipologia: Notas de estudo

2013

Compartilhado em 27/11/2013

wellington-guilherme-8
wellington-guilherme-8 🇧🇷

5

(4)

13 documentos

1 / 34

Toggle sidebar

Esta página não é visível na pré-visualização

Não perca as partes importantes!

bg1
© 2005 – ACME! Computer Security Research
http://www.acmesecurity.org
1
Técnicas e Ferramentas Utilizadas em
Técnicas e Ferramentas Utilizadas em
Análise Forense
Análise Forense
Arnaldo Candido Junior
Almir Moreira Saúde
Prof. Dr. Adriano Mauro Cansian
Coordenador
ACME! Computer Security Research Labs
UNESP - Universidade Estadual Paulista
Campus de São José do Rio Preto
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22

Pré-visualização parcial do texto

Baixe ferramentas forense computacional e outras Notas de estudo em PDF para Cultura, somente na Docsity!

© 2005 – ACME! Computer Security Research

Técnicas e Ferramentas Utilizadas em Técnicas e Ferramentas Utilizadas em

Análise Forense Análise Forense

Arnaldo Candido Junior Almir Moreira Saúde Prof. Dr. Adriano Mauro Cansian Coordenador ACME! Computer Security Research Labs UNESP - Universidade Estadual Paulista Campus de São José do Rio Preto

© 2005 – ACME! Computer Security Research

Roteiro

  • Introdução.
  • Metodologia para forense.
  • Preparação, coleta e análise.
  • Coleta e análise a partir de comandos nativos do UNIX.
  • Ferramentas TCT, TCTUtils e TASK.
  • Outras ferramentas.

© 2005 – ACME! Computer Security Research

Evidência digital

  • Evidências digitais são informações em formato digital

capazes de determinar se um sistema computacional sofreu

uma violação, ou que provêem uma ligação com a vítima ou

com o atacante.

  • Evidências desta natureza podem ser duplicadas com exatidão.
  • É possível verificar se sofreram alterações com os métodos adequados.
  • São altamente voláteis, podendo ser alteradas durante a análise, caso as devidas precauções não sejam tomadas.
  • Principio da Troca de Locard.
  • Toda a pessoa que passa pela cena de um crime, deixa algo de si e leva algo consigo.
  • De forma análoga, toda a pessoa que comete um crime digital, deixa rastros no sistema comprometido. Os rastros podem ser difíceis de serem seguidos, mas existem.

© 2005 – ACME! Computer Security Research

Forense Computacional

  • Exames forenses tradicionais, como o exame de DNA, são

realizados através de métodos e procedimentos bem definidos.

  • A análise é efetuada através de passos rotineiros, repetidos em cada caso.
  • Geralmente, a estratégia para forense computacional é

particular em cada caso.

  • Heterogeneidade de softwares.
  • Heterogeneidade de hardwares.
  • Uso de padrões distintos.
  • (^) Constantes mudanças na tecnologia.
  • Os métodos para a forense computacional devem ser genéricos

o suficiente para acomodar todas essas mudanças.

© 2005 – ACME! Computer Security Research

Resposta a Incidentes

  • Metodologia de resposta em 6 passos ( SANS Institute ):
    • Preparação: envolve o planejamento e definições de políticas para lidar com o incidente quando detectado.
    • Identificação: caracterização da ameaça e seus efeitos nos sistemas afetados.
    • Contenção: consiste em limitar o efeito do incidente de modo que atinja o menor número de sistemas possíveis.
    • Erradicação: estágio no qual as conseqüências causadas pelo incidente são eliminadas ou reduzidas.
    • Recuperação: retomada das atividades em andamento antes do incidente ocorrer. Também restauração de dados caso necessário.
    • Continuação: medidas necessárias para evitar que a ocorrência do incidente seja repetida.

© 2005 – ACME! Computer Security Research

Metodologia para a perícia

  • Coleta de informações.
  • Reconhecimento das evidências.
  • Restauração, documentação e preservação das evidências

encontradas.

  • Correlação das evidências.
  • Reconstrução dos eventos.

© 2005 – ACME! Computer Security Research

Preparação (2)

  • Os mecanismos de rede podem fornecer informações valiosas

para análise quando corretamente configurados.

  • Firewalls/Sniffers/ Detectores de Intrusão.
  • Roteadores e gateways em geral.
  • Servidores de DNS e Proxy.
  • Servidores de backups.
  • Coletores de fluxos.
  • Avisos sobre alterações no sistema podem ser obtidas a partir

do uso de ferramentas como o monitorador Tripwire.

  • É recomendável o uso de um host exclusivo para coleta de

logs. Logs locais podem ser facilmente removidos por um

atacante com acesso administrativo.

© 2005 – ACME! Computer Security Research

Coleta (1)

  • A coleta de evidências é feita principalmente com base nos

dados obtidos a partir dos discos rígidos e das demais mídias

físicas.

  • Caso o sistema ainda esteja em funcionamento, pode-se

recuperar evidências adicionais.

  • É recomendável interromper a energia ao invés de desligar o sistema de modo habitual. - Permite preservar o estado do sistema ( swap , arquivos temporários, marcas de tempo nos arquivos, ...). - Pode evitar armadilhas programadas para disparar durante o desligamento do sistema.
  • Deve ser observado o tempo de vida de cada evidência.

© 2005 – ACME! Computer Security Research

Dispositivos de armazenamento

  • Registradores e cache.
    • Contém pouca informação aproveitável.
  • Memória de periféricos.
    • Podem possuir informações não disponíveis na memória principal como documentos enviados via fax , imagens exibidas no monitor, etc.
  • Memória RAM.
    • Contém informações sobre o sistema operacional e os processos em execução. Pode conter senhas e informações em texto plano que estão cifradas no disco.
  • Discos Rígidos e mídias secundárias.
    • Contém a maior parte das informações usadas para extração de evidências.

© 2005 – ACME! Computer Security Research

Alterações no sistema

  • As informações obtidas podem não ser confiáveis uma vez que

o sistema foi comprometido.

  • Como forma de minimizar o problema, alguns kits de forense para ambientes UNIX contém binários compilados estaticamente dos principais utilitários de sistema.
  • Alvos de modificação: Comandos do sistema Bibliotecas dinâmicas Drivers de dispositivos Kernel Dificuldade de detecção Shell

© 2005 – ACME! Computer Security Research

Reconstrução de eventos

  • Correlacionamento de logs.
  • Análise do tráfego da rede ( logs de roteadores, firewalls , ...).
  • Histórico do shell (quando houver).
  • MAC Times.
  • Recuperação de arquivos apagados ou análise do dump do

disco.

  • Análise de artefatos encontrados no sistema.

© 2005 – ACME! Computer Security Research

Modo de operação do atacante

  • Entender o modo de operação é útil durante a busca por

evidências:

  • Identificação do alvo.
  • Busca por vulnerabilidades.
  • Comprometimento inicial.
  • Aumento de privilégio.
  • Tornar-se "invisível".
  • (^) Reconhecimento do sistema.
  • Instalação de backdoors.
  • Limpeza de rastros.
  • Retorno por um backdoor ; inventário e comprometimento de máquinas vizinhas.

© 2005 – ACME! Computer Security Research

Coletando dados brutos

  • Dump da memória:
    • dd if /dev/mem of
    • dd if /dev/kmem of
    • dd if /dev/rswap of
  • Dump nos discos:
    • (^) dd if of
  • Obtendo dados da memória da placa de vídeo:
    • xwd -display :0 -root > screen.xwd
    • xwud -in screen.xwd
  • Transferindo informações coletadas através do Netcat:
    • Servidor: nc -p -l > <saída>
    • Cliente: <comando_do_sistema> | nc -w 3 to

© 2005 – ACME! Computer Security Research

Estado da rede

  • Configurações da rede:
    • ifconfig, iwconfig
    • route
    • arp
    • netstat -tupan , lsof -i
  • Coletando o tráfego:
    • tcpdump -l -n -e -x -vv -s 1500
    • ethereal