Conforme informado, fiz o estudo de caso em conjunto com Evandro.
Segue link do referido estudo:
http://evandroforense.blogspot.com/
segunda-feira, 9 de março de 2009
Exemplo de interceptação de dados na rede
Interceptar os dados de uma rede é uma tarefa simples, somente é necessário estar conectado fisicamente com a onda magnética que está transmitindo informações, seja ela a eletricidade de um cabo de rede ethernet, ondas de rádio vindas de um satélite ou antena, ou a luz transmitida pela fibra óptica. O problema todo consiste em entender o que foi transmitido, para isso é preciso saber qual o protocolo de comunicação utilizado e também como realizar a tarefa de decifrar/decriptografar a mensagem.
Redes sem fio são consideradas inseguras pois é bastante fácil escutar o que está sendo transmitido, basta o investigador estar dentro do raio de alcance do sinal da onda de rádio. No caso de uma análise forense, após a obtensão de um mandato judicial, também é bem simples realizar a escuta das mensagens que uma pessoa transmite através da Internet. Basta somente descobrir um roteador pelo qual passa todas as informações a serem investigadas, e então armazenar a transmissão, para posterior análise.
A seguir está um exemplo de interceptação de dados na rede, capturados com a ferramenta "Ethereal", um software livre. O investigador desejava descobrir as mensagens que uma pessoa estava enviando a partir do aplicativo MSN Messenger, um comunicador instantâneo da Microsoft.
Pode-se perceber que a pessoa estava utilizando o protocolo IP na camada de redes, o protocolo TCP na camada de transporte e o protocolo MSNMS na camada de aplicação. A mensagem, transmitida em texto claro, é "você está me ajudando no trabalho de redes".
Apagando Dados
Para excluir todos os rastros de um arquivo, não basta simplesmente deletar e sobrescrevê-lo no disco para realmente apagá-lo. Existem formas seguras para realizar essa tarefa.
Desmagnetização
Uma de apagar definitivamente as informações remanescentes em um disco é criar um campo magnético muito forte capaz de reduzir o estado magnético da mídia a zero. Esse processo pode ser obtido aplicando uma corrente elétrica próxima ao disco, ou utilizando ímãs. Existem diferentes tipos de mídia magnética, é importante o desmagnetizador ser adequado para apagar o disco ou fita correspondente.
Destruição física
Há tipos de mídia onde não resta outra solução a não ser a destruição física, como geralmente requerem as mídias óticas. Quando o dado é extremamente sigiloso, também é preferível se utilizar desse método. Isso pode ser feito de várias maneiras:
• Pulverização: quebrar a mídia até ela ser totalmente reduzida a pó.
• Incineração: queimar a mídia até ela ser totalmente reduzida a cinzas.
• Ácido: aplicar ácido na superfície do disco.
Padrão do Departamento de Defesa dos Estados Unidos 5220.22-M
Este é um padrão que sobrescreve todos os setores de um disco magnético onde os dados sensíveis estão alocados, de forma a eliminar a remanescência causada pela variação da posição do cabeçote magnético de escrita em um setor. Os discos são sobrescritos em três etapas, cada uma delas utilizando um padrão de bits diferente. Esse método pode não apagar por completo todos os vestígios, e é mais recomendável a destruição física do disco.
Padrão Alemão BSI Verschlusssachen-IT-Richtlinien (VSITR)
Feito pelo departamento federal alemão de TI, é similar ao anterior, porém utiliza 7 etapas. Nas primeira, um padrão de bits é escolhido e os setores sensíveis são sobrescritos com ele. Na segunda, utiliza-se o complemento do padrão de bits da primeira para sobrescrever os mesmos setores. Depois de repetir essas etapas por três vezes, utiliza-se o padrão de bits "010101" para a sobrescrita.
Algoritmo de Bruce Schneier
Utiliza 7 etapas, gravando "11111111" na primeira, "00000000" na segunda, e um padrão de bits aleatório nas etapas subsequentes. Esse método é considerado superior ao anterior, pois a natureza aleatória dos padrões torna mais difícil o investigador fazer qualquer suposição sobre o que estava gravado anteriormente. Porém, é bastante custoso criar o padrão aleatório de bits quando uma etapa de sobrescrição é realizada.
Algoritmo de Peter Gutmann
Utiliza 35 etapas, e é considerado o estado da arte atual. Apesar de ser bastante seguro, é muito mais custoso que os anteriores, e o tempo vira um fator limitante.
Desmagnetização
Uma de apagar definitivamente as informações remanescentes em um disco é criar um campo magnético muito forte capaz de reduzir o estado magnético da mídia a zero. Esse processo pode ser obtido aplicando uma corrente elétrica próxima ao disco, ou utilizando ímãs. Existem diferentes tipos de mídia magnética, é importante o desmagnetizador ser adequado para apagar o disco ou fita correspondente.
Destruição física
Há tipos de mídia onde não resta outra solução a não ser a destruição física, como geralmente requerem as mídias óticas. Quando o dado é extremamente sigiloso, também é preferível se utilizar desse método. Isso pode ser feito de várias maneiras:
• Pulverização: quebrar a mídia até ela ser totalmente reduzida a pó.
• Incineração: queimar a mídia até ela ser totalmente reduzida a cinzas.
• Ácido: aplicar ácido na superfície do disco.
Padrão do Departamento de Defesa dos Estados Unidos 5220.22-M
Este é um padrão que sobrescreve todos os setores de um disco magnético onde os dados sensíveis estão alocados, de forma a eliminar a remanescência causada pela variação da posição do cabeçote magnético de escrita em um setor. Os discos são sobrescritos em três etapas, cada uma delas utilizando um padrão de bits diferente. Esse método pode não apagar por completo todos os vestígios, e é mais recomendável a destruição física do disco.
Padrão Alemão BSI Verschlusssachen-IT-Richtlinien (VSITR)
Feito pelo departamento federal alemão de TI, é similar ao anterior, porém utiliza 7 etapas. Nas primeira, um padrão de bits é escolhido e os setores sensíveis são sobrescritos com ele. Na segunda, utiliza-se o complemento do padrão de bits da primeira para sobrescrever os mesmos setores. Depois de repetir essas etapas por três vezes, utiliza-se o padrão de bits "010101" para a sobrescrita.
Algoritmo de Bruce Schneier
Utiliza 7 etapas, gravando "11111111" na primeira, "00000000" na segunda, e um padrão de bits aleatório nas etapas subsequentes. Esse método é considerado superior ao anterior, pois a natureza aleatória dos padrões torna mais difícil o investigador fazer qualquer suposição sobre o que estava gravado anteriormente. Porém, é bastante custoso criar o padrão aleatório de bits quando uma etapa de sobrescrição é realizada.
Algoritmo de Peter Gutmann
Utiliza 35 etapas, e é considerado o estado da arte atual. Apesar de ser bastante seguro, é muito mais custoso que os anteriores, e o tempo vira um fator limitante.
Recuperando Dados
Por muitas vezes, a investigação de um crime se reduz a coletar uma evidência armazenada em um meio digital, com os dados convenientemente íntegros e organizados no HD (ou algum outro tipo de mídia). Porém, muitos malfeitores tentam esconder ou apagar esses dados com medo da possível descoberta da evidência de um crime. A seguir discutiremos os métodos para a recuperação de dados escondidos ou apagados.
Recuperando arquivos deletados
Muitas pessoas acreditam que ao simplesmente deletar um arquivo ele se torna irrecuperável. Essa crença é errada, pois quando um arquivo é deletado a única coisa apagada é o dado do ponteiro que remete à localização do arquivo no disco, fazendo com que o espaço apontado seja considerado livre para escrita de um novo dado. Dessa forma, basta simplesmente recuperar e reorganizar os fragmentos de dados espalhados pelo HD (ou outro tipo de mídia), que o arquivo pode ser obtido inteiro ou parcialmente. Para executar tal tarefa, basta somente utilizar uma ferramenta de recuperação de dados de acordo com as características do sistema de alocação de arquivos usado pelo sistema operacional. Qualquer pessoa pode encontrar uma dessas ferramentas hoje na WEB, devido também à sua grande utilidade prática no dia a dia de recuperar arquivos acidentalmente apagados.
Análise física do disco
Outro tópico importante é a recuperação dos dados fazendo análise física do disco. Mesmo em um HD destruído ou com os arquivos sobrescritos, ainda é possível fazer uma análise magnética para dizer qual era o dado que estava armazenado anteriormente. Isso acontece porque o alinhamento vertical e horizontal das cabeças leitoras do disco não é exatamente o mesmo cada vez que uma operação de escrita no setor é realizada, deixando vestígios dos dados antigos. Esse processo é lento e caro, e geralmente é feito somente por especialistas com equipamentos refinados. Análises físicas podem ser feitas em qualquer mídia de armazenamento onde haja a remanescência dos dados, como todas as que utilizam o magnetismo para guardar informação. Cartões de memória para câmeras digitais e pendrives também estão entre os dispositivos onde há remanescência.
Métodos contra criptografia e esteganografia de arquivos
Muitos criminosos utilizam métodos de criptografia fracos para proteger seus arquivos. Basta somente utilizar a ferramenta adequada para quebrar a criptografia, seja por força bruta ou algum processo mais refinado, e então recuperar os dados. Já no caso da esteganografia, o método utilizado é fazer comparações entre as estatísticas esperadas do arquivo e estatísticas deixadas por softwares esteganográficos. O processo de verificar a existência de dados escondidos é simples, porém recuperar alguma informação desses dados é difícil.
Recuperando dados escondidos no HD
Essa técnica procura dados localizados áreas armazenáveis de informação no disco que são desperdiçadas. Um setor do disco é uma unidade fixa de espaço, como 512 bytes. Hard Disks armazenam as informações em linhas radiais, e nenhuma linha tem a mesma circunferência que outra. Dessa forma, para um HD manter os dados armazenados em setores iguais para todas as linhas, algum espaço é desperdiçado quando sobra uma fração de um setor em alguma linha. Esse espaço desperdiçado é chamado de intervalo de setor, e é possível esconder dados nele. Outra forma de esconder os dados é quando um arquivo é armazenado em um setor de tamanho maior que ele, deixando um espaço sobrando nesse setor. O dado pode ser escrito dentro deste espaço sem problemas, porém quando o setor for sobrescrito a informação contida nele é perdida. Alguns sistemas operacionais utilizam função de preenchimento para completar os espaços que faltam em um setor baseados no estado da memória RAM, tornando possível algum investigador também poder descobrir o que o usuário tinha na memória volátil quando o arquivo foi escrito em disco.
Localizando evidências esquecidas
Muita quantidade de dados é automaticamente armazenada no computador quando aplicativos são utilizados. Históricos da Internet geralmente são facilmente reavidos, já que a maioria dos navegadores não apaga seus dados de forma a evitar sua recuperação. Inúmeros outros aplicativos usam alguma forma de armazenamento que o usuário não percebe ou que não é transparente ao usuário, deixando mais vestígios no disco. Outra fonte de informação que pode ser facilmente recuperada é o arquivo de paginamento ou a área de troca de memória do sistema operacional, onde os dados da memória RAM menos utilizados são salvos no HD. A maioria dos sistemas operacionais utilizam algo parecido a isso para maximizar a performance.
Recuperando arquivos deletados
Muitas pessoas acreditam que ao simplesmente deletar um arquivo ele se torna irrecuperável. Essa crença é errada, pois quando um arquivo é deletado a única coisa apagada é o dado do ponteiro que remete à localização do arquivo no disco, fazendo com que o espaço apontado seja considerado livre para escrita de um novo dado. Dessa forma, basta simplesmente recuperar e reorganizar os fragmentos de dados espalhados pelo HD (ou outro tipo de mídia), que o arquivo pode ser obtido inteiro ou parcialmente. Para executar tal tarefa, basta somente utilizar uma ferramenta de recuperação de dados de acordo com as características do sistema de alocação de arquivos usado pelo sistema operacional. Qualquer pessoa pode encontrar uma dessas ferramentas hoje na WEB, devido também à sua grande utilidade prática no dia a dia de recuperar arquivos acidentalmente apagados.
Análise física do disco
Outro tópico importante é a recuperação dos dados fazendo análise física do disco. Mesmo em um HD destruído ou com os arquivos sobrescritos, ainda é possível fazer uma análise magnética para dizer qual era o dado que estava armazenado anteriormente. Isso acontece porque o alinhamento vertical e horizontal das cabeças leitoras do disco não é exatamente o mesmo cada vez que uma operação de escrita no setor é realizada, deixando vestígios dos dados antigos. Esse processo é lento e caro, e geralmente é feito somente por especialistas com equipamentos refinados. Análises físicas podem ser feitas em qualquer mídia de armazenamento onde haja a remanescência dos dados, como todas as que utilizam o magnetismo para guardar informação. Cartões de memória para câmeras digitais e pendrives também estão entre os dispositivos onde há remanescência.
Métodos contra criptografia e esteganografia de arquivos
Muitos criminosos utilizam métodos de criptografia fracos para proteger seus arquivos. Basta somente utilizar a ferramenta adequada para quebrar a criptografia, seja por força bruta ou algum processo mais refinado, e então recuperar os dados. Já no caso da esteganografia, o método utilizado é fazer comparações entre as estatísticas esperadas do arquivo e estatísticas deixadas por softwares esteganográficos. O processo de verificar a existência de dados escondidos é simples, porém recuperar alguma informação desses dados é difícil.
Recuperando dados escondidos no HD
Essa técnica procura dados localizados áreas armazenáveis de informação no disco que são desperdiçadas. Um setor do disco é uma unidade fixa de espaço, como 512 bytes. Hard Disks armazenam as informações em linhas radiais, e nenhuma linha tem a mesma circunferência que outra. Dessa forma, para um HD manter os dados armazenados em setores iguais para todas as linhas, algum espaço é desperdiçado quando sobra uma fração de um setor em alguma linha. Esse espaço desperdiçado é chamado de intervalo de setor, e é possível esconder dados nele. Outra forma de esconder os dados é quando um arquivo é armazenado em um setor de tamanho maior que ele, deixando um espaço sobrando nesse setor. O dado pode ser escrito dentro deste espaço sem problemas, porém quando o setor for sobrescrito a informação contida nele é perdida. Alguns sistemas operacionais utilizam função de preenchimento para completar os espaços que faltam em um setor baseados no estado da memória RAM, tornando possível algum investigador também poder descobrir o que o usuário tinha na memória volátil quando o arquivo foi escrito em disco.
Localizando evidências esquecidas
Muita quantidade de dados é automaticamente armazenada no computador quando aplicativos são utilizados. Históricos da Internet geralmente são facilmente reavidos, já que a maioria dos navegadores não apaga seus dados de forma a evitar sua recuperação. Inúmeros outros aplicativos usam alguma forma de armazenamento que o usuário não percebe ou que não é transparente ao usuário, deixando mais vestígios no disco. Outra fonte de informação que pode ser facilmente recuperada é o arquivo de paginamento ou a área de troca de memória do sistema operacional, onde os dados da memória RAM menos utilizados são salvos no HD. A maioria dos sistemas operacionais utilizam algo parecido a isso para maximizar a performance.
sábado, 7 de março de 2009
Análise Forense - Um conceito
A Ciência Forense é a aplicação de uma vasta gama de métodos científicos para responder a investigações e questões de interesse legal. “Forense” é uma palavra em português que remete ao latim de “antes do fórum”. A Análise Forense em computadores é um conjunto de aplicações que em geral são utilizadas para determinar se ele foi ou está sendo utilizado para fins ilegais, e os especialistas dessa área geralmente investigam os meios de armazenamento de dados, as comunicações, a criptografia dos dados, entre outras possibilidades, tentando conseguir alguma informação relevante. Basicamente uma Análise Forense consiste de quatro passos:
1. Identificar fontes de evidência aceitas pelo sistema legal.
2. Preservar a evidência.
3. Analisar a evidência.
4. Apresentar o resultado da análise.
Existem também técnicas anti-Análise Forense, que visam dificultar as investigações e destruir as evidências que podem ser usadas contra você no sistema legal.
1. Identificar fontes de evidência aceitas pelo sistema legal.
2. Preservar a evidência.
3. Analisar a evidência.
4. Apresentar o resultado da análise.
Existem também técnicas anti-Análise Forense, que visam dificultar as investigações e destruir as evidências que podem ser usadas contra você no sistema legal.
Assinar:
Postagens (Atom)