Baixe ferramentas forense computacional e outras Notas de estudo em PDF para Cultura, somente na Docsity!
© 2005 – ACME! Computer Security Research
Técnicas e Ferramentas Utilizadas em Técnicas e Ferramentas Utilizadas em
Análise Forense Análise Forense
Arnaldo Candido Junior Almir Moreira Saúde Prof. Dr. Adriano Mauro Cansian Coordenador ACME! Computer Security Research Labs UNESP - Universidade Estadual Paulista Campus de São José do Rio Preto
© 2005 – ACME! Computer Security Research
Roteiro
- Introdução.
- Metodologia para forense.
- Preparação, coleta e análise.
- Coleta e análise a partir de comandos nativos do UNIX.
- Ferramentas TCT, TCTUtils e TASK.
- Outras ferramentas.
© 2005 – ACME! Computer Security Research
Evidência digital
- Evidências digitais são informações em formato digital
capazes de determinar se um sistema computacional sofreu
uma violação, ou que provêem uma ligação com a vítima ou
com o atacante.
- Evidências desta natureza podem ser duplicadas com exatidão.
- É possível verificar se sofreram alterações com os métodos adequados.
- São altamente voláteis, podendo ser alteradas durante a análise, caso as devidas precauções não sejam tomadas.
- Principio da Troca de Locard.
- Toda a pessoa que passa pela cena de um crime, deixa algo de si e leva algo consigo.
- De forma análoga, toda a pessoa que comete um crime digital, deixa rastros no sistema comprometido. Os rastros podem ser difíceis de serem seguidos, mas existem.
© 2005 – ACME! Computer Security Research
Forense Computacional
- Exames forenses tradicionais, como o exame de DNA, são
realizados através de métodos e procedimentos bem definidos.
- A análise é efetuada através de passos rotineiros, repetidos em cada caso.
- Geralmente, a estratégia para forense computacional é
particular em cada caso.
- Heterogeneidade de softwares.
- Heterogeneidade de hardwares.
- Uso de padrões distintos.
- (^) Constantes mudanças na tecnologia.
- Os métodos para a forense computacional devem ser genéricos
o suficiente para acomodar todas essas mudanças.
© 2005 – ACME! Computer Security Research
Resposta a Incidentes
- Metodologia de resposta em 6 passos ( SANS Institute ):
- Preparação: envolve o planejamento e definições de políticas para lidar com o incidente quando detectado.
- Identificação: caracterização da ameaça e seus efeitos nos sistemas afetados.
- Contenção: consiste em limitar o efeito do incidente de modo que atinja o menor número de sistemas possíveis.
- Erradicação: estágio no qual as conseqüências causadas pelo incidente são eliminadas ou reduzidas.
- Recuperação: retomada das atividades em andamento antes do incidente ocorrer. Também restauração de dados caso necessário.
- Continuação: medidas necessárias para evitar que a ocorrência do incidente seja repetida.
© 2005 – ACME! Computer Security Research
Metodologia para a perícia
- Coleta de informações.
- Reconhecimento das evidências.
- Restauração, documentação e preservação das evidências
encontradas.
- Correlação das evidências.
- Reconstrução dos eventos.
© 2005 – ACME! Computer Security Research
Preparação (2)
- Os mecanismos de rede podem fornecer informações valiosas
para análise quando corretamente configurados.
- Firewalls/Sniffers/ Detectores de Intrusão.
- Roteadores e gateways em geral.
- Servidores de DNS e Proxy.
- Servidores de backups.
- Coletores de fluxos.
- Avisos sobre alterações no sistema podem ser obtidas a partir
do uso de ferramentas como o monitorador Tripwire.
- É recomendável o uso de um host exclusivo para coleta de
logs. Logs locais podem ser facilmente removidos por um
atacante com acesso administrativo.
© 2005 – ACME! Computer Security Research
Coleta (1)
- A coleta de evidências é feita principalmente com base nos
dados obtidos a partir dos discos rígidos e das demais mídias
físicas.
- Caso o sistema ainda esteja em funcionamento, pode-se
recuperar evidências adicionais.
- É recomendável interromper a energia ao invés de desligar o sistema de modo habitual. - Permite preservar o estado do sistema ( swap , arquivos temporários, marcas de tempo nos arquivos, ...). - Pode evitar armadilhas programadas para disparar durante o desligamento do sistema.
- Deve ser observado o tempo de vida de cada evidência.
© 2005 – ACME! Computer Security Research
Dispositivos de armazenamento
- Registradores e cache.
- Contém pouca informação aproveitável.
- Memória de periféricos.
- Podem possuir informações não disponíveis na memória principal como documentos enviados via fax , imagens exibidas no monitor, etc.
- Memória RAM.
- Contém informações sobre o sistema operacional e os processos em execução. Pode conter senhas e informações em texto plano que estão cifradas no disco.
- Discos Rígidos e mídias secundárias.
- Contém a maior parte das informações usadas para extração de evidências.
© 2005 – ACME! Computer Security Research
Alterações no sistema
- As informações obtidas podem não ser confiáveis uma vez que
o sistema foi comprometido.
- Como forma de minimizar o problema, alguns kits de forense para ambientes UNIX contém binários compilados estaticamente dos principais utilitários de sistema.
- Alvos de modificação: Comandos do sistema Bibliotecas dinâmicas Drivers de dispositivos Kernel Dificuldade de detecção Shell
© 2005 – ACME! Computer Security Research
Reconstrução de eventos
- Correlacionamento de logs.
- Análise do tráfego da rede ( logs de roteadores, firewalls , ...).
- Histórico do shell (quando houver).
- MAC Times.
- Recuperação de arquivos apagados ou análise do dump do
disco.
- Análise de artefatos encontrados no sistema.
© 2005 – ACME! Computer Security Research
Modo de operação do atacante
- Entender o modo de operação é útil durante a busca por
evidências:
- Identificação do alvo.
- Busca por vulnerabilidades.
- Comprometimento inicial.
- Aumento de privilégio.
- Tornar-se "invisível".
- (^) Reconhecimento do sistema.
- Instalação de backdoors.
- Limpeza de rastros.
- Retorno por um backdoor ; inventário e comprometimento de máquinas vizinhas.
© 2005 – ACME! Computer Security Research
Coletando dados brutos
- Dump da memória:
- dd if /dev/mem of
- dd if /dev/kmem of
- dd if /dev/rswap of
- Dump nos discos:
- Obtendo dados da memória da placa de vídeo:
- xwd -display :0 -root > screen.xwd
- xwud -in screen.xwd
- Transferindo informações coletadas através do Netcat:
- Servidor: nc -p -l > <saída>
- Cliente: <comando_do_sistema> | nc -w 3 to
© 2005 – ACME! Computer Security Research
Estado da rede
- Configurações da rede:
- ifconfig, iwconfig
- route
- arp
- netstat -tupan , lsof -i
- Coletando o tráfego:
- tcpdump -l -n -e -x -vv -s 1500
- ethereal