Tuesday, December 28, 2010

Missão EnCE: Estrutura do arquivo E01


O arquivo E01 é o formato proprietário para arquivos de imagens forense, criado pela Guidance Software. Também chamado de EnCase Evidence File Format, é uma forma de se trabalhar com uma cópia bit-a-bit da evidência, preservando assim o original.

Basicamente, este arquivo é composto por um header contendo as informações do caso, blocos de dados de 32KB (padrão 64 setores), registros CRC para garantia de integridade dos blocos de dados e um hash no final do arquivo, para garantia de integridade do arquivo como um todo. Este hash no final do arquivo deve coincidir com o hash da evidência original, a fim de garantir que não houveram manipulações no arquivo de evidência durante o processo.



O header armazena informações sobre o caso, não manipuláveis após criação do arquivo de imagem. Estas informações armazenadas no header são "autenticadas" pelo CRC do header.

O header contem as seguintes informações:
  • Case number
  • Examiner name
  • Evidence number
  • Unique description
  • Date/time of computer system clock
  • Acquisition notes
  • Serial number of physical hard drive
Cada bloco de dados contém, por padrão, 64 setores (32KB de dados). A partir da versão 5 do EnCase, os tamanhos destes blocos podem ser alterados para até 32.768 setores (16MB de dados). Por razões didáticas, assumiremos que esta customização não é possível e os blocos de dados tem 64 setores. Para cada um destes blocos de dados, é calculado um CRC no momento da geração do arquivo, que é checado quando se adiciona o arquivo de imagem a um caso e a cada acesso a este bloco de dados durante o processo de investigação.


A partir da versão 6 do EnCase, o hash gerado para integridade do arquivo de imagem pode ser armazenado em MD5 e/ou SHA1.

O arquivo de imagem pode ser dividido em múltiplos segmentos, com o tamanho máximo dependendo do suporte do sistema de arquivos utilizado. Até a versão 5 do EnCase, o tamanho máximo do arquivo de imagem era de 2GB, devido a uma limitação interna de offset de 31bit. A partir da versão 6 do EnCase, um "work arround" resolveu esta limitação.

O arquivo de imagem pode ser protegido por senha. Esta senha não pode ser alterada após criação do arquivo de imagem.

Pode ser aplicado compresão ao arquivo de imagem durante o processo de criação. Esta compresão poderá reduzir bastante o tamanho do arquivo de imagem, mas não irão alterar o hash de controle, que deverá sempre coincidir com o hash do disco original.

Missão: EnCE - Algumas "notas de rodapé" II

Finalizando o post de ontem sobre notas de rodapé, estou publicando mais algumas notas sobre o EnCase, da Guidance Software:



File Systems 
• FAT file systems (FAT12, 16, 32) group one or more sectors in powers of 2 into clusters.
• The number of clusters that the file system can manage is determined by the available bits employed by the FAT.
• FAT16 (2/16) allows 65,536 clusters.
• FAT32 (2/28) allows 268,435,456 clusters.
• The FAT maintains information regarding the status of all the clusters on the volume (available -0, in use), indicated cluster number, containing the end of a file (EOF), and containing one or more defective sectors (BAD).
• The FAT also tracks file fragmentation.
• Directory entries maintain the file name, logical file size, and starting cluster.
• FAT is read to begin locating the files data.
• Each FAT volume maintains two copies of the FAT – FAT1 and FAT2.
• Each sector contains 512 data bytes, and this size is consistent across different media types. (ZIP disks, floppies, HDD, etc.)
• Logical file size is the actual number of bytes that the file contains.
• Physical file size is the amount of actual media space allocated to the file.
• Only one file can occupy a cluster at one time – no two files can occupy the same cluster.

File Slack 
• Displayed in EnCase as red text. It is the data from the end of the logical file to the end of the physical file.
• EnCase also displays FAT directory entries in red text because neither slack nor FAT directories have any logical file size


Deleted Files 
• Two actions occur when a file is deleted from a FAT system – the first character of the directory entry(s) pertaining to the file is/are changed to E5h, and the values within the FAT that pertain to this file are reset to 0
(available).
• Deleting a file has no effect on the actual data in FAT or NTFS.
• EnCase reads the directory entry for a deleted file and will obtain the starting extent. It then will determine the number of clusters the file requires by dividing the logical file size by the bytes per cluster.
• EnCase reads the FAT to determine if the indicated starting extent (cluster) is in use by any other file.
• If the indicated starting extent (cluster) is in use by another file, EnCase deems this file to be overwritten.

Computer Hardware and Systems 
• BIOS – Basic Input Output System
• The BIOS is responsible for the initial checking of the system components and initial configuration of the system once power is turned on.
• Examiners should access the BIOS and determine the boot sequence as well as the indicated date/time.
• Depending on the settings, the computer system may or may not attempt to boot from a diskette drive.
• The BIOS is typically contained within a chip located on the system motherboard, which is the main circuit board within a computer system.
• Add-in cards – video controller, SCSI controller, NIC, etc.
• SCSI host adapters manage SCSI devices and make them accessible to the OS.
• RAM – Random Access Memory – stores data temporarily and is accessible immediately to the OS.
• ROM – Read Only Memory
• CPU – the actual processor chip – not the whole computer.
• POST – Power On Self Test – first activity following the application of power to the computer system.
• The POST activity includes the testing of identified attached devices on the system bus, including the HDD(s), diskette drives, installed memory, etc.
• Drive letters are assigned by the OS during the boot process, but are not recorded to the media involved.
• Bootable media must maintain a bootable partition/volume, which in the case of HDDs, must be set as active.

HDDs 
• IDE drives are set for Master/Slave/Cable. Select through jumper pinning on the physical drive.
• SCSI drives do not maintain “Master/Slave” settings; rather they are assigned ID numbers, again usually through jumper settings.
• When employing CHS geometry, the formula for determining the HDD capacity is CxHxSx512.
• The first sector on every HDD contains the Master Boot Record, and the partition table for the drive is located within this sector for Windows and Linux – offset 446-509.
• The partition table within the MBR can maintain 4 entries, each 16 bytes in length.
• Each defined partition on a physical HDD will contain a Volume Boot Record as the first sector within the partition.
• Selecting the Volume Boot sector, right-clicking and choosing Add Partition can recover deleted partitions.

Restoring E01 Files 
• Evidence files can be restored to media of equal or greater size.
• The hash value of a properly restored evidence file will match the value maintained within the evidence file, which is the value computed against the original source media.
• Restoring evidence files of physical media must be made to a physical drive, logical evidence files to a defined logical partition.
• Logical restores must be made to a created partition equal to or larger than the evidence file partition, and must be of the same file system – FAT16/32.
• Restored drives are validated by the MD5 value.

OS Artifacts 
• Review Recycle Bin functions – DC0.TXT, DC1.JPG, etc.
• On Windows XP/2003 and below, the date/time deleted stems from the INFO record within the Recycle Bin.
• FAT directory entries in DOS/Windows are 32 bytes in length.
• Review directory structure – parent/child relationships.
• Review Windows XP/2000 artifact locations: C\Windows\Recent, Desktop, Send To, and Temporary Internet Files.
• Review LNK files – linking a diskette to the computer that wrote to it – embedded date/time as well as full path and file name of the target file.
• Review EMF files, SPL, and SHD files – definition and content.
• BASE64 encoding – common to email attachments.
• Windows 2000 and XP have user personal folders stored under C:\Documents and Settings.

Os estudos continuam!

Monday, December 27, 2010

Missão: EnCE - Algumas "notas de rodapé"

Transcrevo aqui algumas "notas de rodapé" que merecem atenção dos que estudam para o exame do EnCE. Sim, estão em inglês, e o original também.


EnCase® Environment:
 • All lab media should maintain a unique volume label and a unique directory to receive the evidence file(s).
 • All lab media should be forensically sterile – wiped of all data, verified to be absent of any data, freshly partitioned, and formatted.
 • Upon starting a new case – default Export and Temp directories should be defined.
 • These folders will provide a default location for exported data as well as a specific folder to contain files that are created through the use of external viewers.
 • Both of these folders are case specific and can be modified as to location at any time.
 • When an examiner double-clicks on a file, the data is copied to the defined temp directory, and the associated viewer is then called to display the file data.
 • When EnCase is properly shut down, EnCase will delete the files from the temp folder.

E01 File
 • Bit stream image of the source media written to a file(s).
 • Contains case information as first block, validated by attached CRC.
 • No alteration to case information block can be made.
 • There is no limit to the EnCase® evidence file segment size.
 • Content of the evidence file cannot be changed – data cannot be “added” to an existing evidence file.

Case File
 • Contains your “work” – search results, bookmarks, and report.
 • It is simply a text file containing information specific to a single case/investigation.
 • There is no limit to the number of evidence files that can be added to a single case – 8 hdds, 200 diskettes, 24 CDRs – as example.
 • Case file is updated by utilizing the SAVE button or selecting SAVE from the menu.  This only affects the .case file.  
 • Evidence file verification results are stored within the .case file. Backup File (.CBAK)
 • Is created at preset intervals
 • Captures current state of .case file.

EnCase® Configuration Files
 • Contain global changes to the EnCase environment – external viewers, hash sets/libraries, signature table.
 • This global environment dictates information/tools available for all cases – not case specific.
•  Example EnCase configuration .ini files:
          o FileSignatures.ini – File Signature Table
          o FileTypes.ini – organizes files into groups by extension; determines which viewer to use
          o Keywords.ini – global keywords list o Filters – available filters
          o Viewers.ini – installed external viewers
 • File Types table dictates the action that will occur if a user double-clicks on a specific file.
 • External viewers are associated with file extensions through the File Types.

Verification of E01
 • CRC (32 bit) every 64 sectors.
 • MD5 (128 bit) computed during acquisition and placed at the end of the evidence file.
 • To fully verify all CRCs as well as MD5 must validate and verify.
 • If any changes occur to an evidence file, the CRC for the affected block(s) will no longer verify, and EnCase will display an error when any data within the block is accessed.
 • EnCase will also indicate an error if the evidence file is verified again.
 • Three (3) aspects of an existent evidence file can be changed/altered
          o Password +/-, compression, and evidence file segment size.
          o The applied filename of the evidence file can be changed, and/or the evidence file(s) can be moved to another location; however EnCase will prompt you to locate the renamed evidence file if it is changed after it is added to a case.
          o Individual segments of an evidence file can be verified under Tools -> Verify Single Evidence File.
 • Compression does not have an impact on the verification of an evidence file; hash value will remain constant.

Searches - General Information
 • Searches within the Windows® environment are both physical and logical.
 • Within the EnCase® Windows environment, keywords that span noncontiguous clusters will still be located within logical files.  No searching tool will find keywords spanning noncontiguous clusters in unallocated space.
 • Searches in unallocated space are physical only as no logical definitions exist in this area.

Searches - GREP – Most Commonly Used Symbols
 •  [  ] Square brackets form a set, and the included values within the set have to match a single character.  [1-9] will match any single numeric value from 1 to 9.
 •  -  Denotes a range – such as above.
 •  ^   States “not” – [^a-z] = NO alpha characters from a to z.
 •  +  States to repeat the preceding character or set any number of times, but at least once.
 •  *  States to repeat the preceding character or set any number of times, including zero times.
 •  \x  Indicates that the following value is to be treated as a hexadecimal value - \xFF\xD8\xFF…
 •  ?  Means “or not” – joh?n will yield both JOHN and JON
 • You must indicate via the check box that the created expression is a GREP term.

Searches - Unicode
 • Selecting Unicode will cause EnCase to search for the keyword in both ASCII and Unicode.
 • Unicode uses two bytes for each character allowing the representation of 65,536 characters.


File Signatures 
 • Simply compares the displayed extension with the file’s header/signature. Four possible results will be obtained:
          o !Bad Signature - The extension is in the File Signature table but the header is incorrect, and the header is not in the File Signature table.
          o  * [Alias] - The header is in the table and the extension is incorrect.  This indicates a file with a renamed extension.
          o MATCH - The header matches the extension.  If the extension has no header in the File Signature table, then EnCase will return a Match as long as the header of the file does not match any header in the File Signature table.
          o  UNKNOWN - indicates that neither the header/signature nor the extension is listed in the table.  If either the header/signature or the extension is listed in the table, you will NOT obtain a value of UNKNOWN.
 • To examine the results of the File Signature effort, sort on the File Signature column.
 • Remember that the gallery view will not display supported image files that maintain extensions inconsistent with image files until and unless the Signature Analysis has been run.
 • The Signature Table can be edited and/or added to by accessing the table, and choosing right-click New.


Hash Analysis
 • Hash sets can be created from selected files, and the set(s) can then be added to the library.
 • The hash value computed for a given file is based upon the logical file content only – not the slack area of the file.
 • File names are maintained within the folder/directory and have no bearing on the computed hash value of a given file.
 • EnCase will compute a hash value of each file in the case and then compare these computed values to the values present in the library.
 • Hash analysis allows the examiner to identify files that are known – either as innocuous files that can be ignored or as files that are evidentiary in content.
 • Hash sets contain only the computed hash values of the files – not the file content.  A file cannot be created from the computed hash value. ASCII and Binary
 • ASCII table is a 7-bit table, and the acronym stands for the American Standard Code for Information Interchange.
 • The resultant 128 values represent alpha/numeric values, common punctuation and other values.
 • Hexadecimal notation employs two characters to represent one byte.
 • A single byte (8 bits) can represent one of 256 possible values; a nibble (4 bits) can represent one of 16 possible values.
 • The “LE” indicator within EnCase indicates the number of bytes that have been selected/swept/highlighted.
 • Nibble = 4 bits
 • Byte = 8 bits
 • Word = 2 bytes = 16 Bits
 • Dword = 4 bytes = 32 Bits

Friday, December 24, 2010

As sutilezas da Esteganografia

A palavra esteganografia é derivada de duas outras palavras de origem grega: “Steganos”, que significa segredo, e “Graphos”, que significa escrita. Basicamente, esteganografia é uma técnica utilizada para esconder informações “incorporando” mensagens importante dentro de outra mensagem, aparentemente inofensiva. O meio mais comum de esteganografia é utilizando arquivos de imagens. Os formatos de compressão mais utilizados são:

· GIF- Graphic Interface Format;
· BMP- A Microsoft standard image;
· JPEG- Joint Photographic Experts;
· TIFF- Tag Image File Format.

Algumas pessoas podem confundir a esteganografia com a criptografia, mas, salvo que ambas têm como objetivo proteger uma informação, essas técnicas não estão relacionadas entre si. É possível criptografar uma mensagem e então utilizar a esteganografia para ocultar essa massa de dados criptografada em um arquivo de imagem, como também é possível armazenar uma informação em texto simples, não criptografada, em um arquivo de imagem.






Para não estender muito este artigo (esteganografia é um assunto que cabe muita discussão), vou me limitar a falar sobre uma das técnicas mais utilizadas: Least Significant Bit Insertion. Esta técnica consiste em fazer uso do bit menos significativo dos pixels de uma imagem e alterá-lo. A mesma técnica pode ser aplicada a um arquivo de áudio ou vídeo, embora não seja tão comum. Feito assim, a distorção da imagem em geral é reduzida ao mínimo, sendo praticamente invisível. Em geral, esta técnica funciona melhor quando a imagem é de grande resolução, tem grandes variações de cor e também leva a maior profundidade de cor.

Exemplo: O valor (1 1 1 1 1 1 1 1) é um número binário de 8 bits. O bit localizado à direita é chamado de "bit menos significativo”, porque é o de menor peso, alterar este bit significa alterar o mínimo possível do valor total do número representado.

Um exemplo de esteganografia: Escondendo a letra "A". Imagine a parte de uma imagem no formato de pixel RGB (3 bytes), sua representação original pode ser: (3 pixels, 9 bytes):

(1 1 0 1 1 0 1 0) (0 1 0 0 1 0 0 1) (0 1 0 0 0 0 1 1)
(0 0 0 1 1 1 1 0) (0 1 0 1 1 0 1 1) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 0) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

A mensagem criptografada é 'A', que é a representação em binário (1 0 0 1 0 1 1 1), em seguida, os novos pixels seriam alterados:

(1 1 0 1 1 0 1 1) (0 1 0 0 1 0 0 0) (0 1 0 0 0 0 1 0)
(0 0 0 1 1 1 1 1) (0 1 0 1 1 0 1 0) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 1) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

Note-se que o algorítimo substituiu o bit da mensagem (em negrito) em cada um dos bits menos significativo dos 3 pixels de cor. Foram necessários 8 bytes para a mudança, um para cada bit da letra A, o nono byte de cor não foi usado, mas é parte do terceiro pixel (seu terceiro componente de cor).







Além disso, este método não altera o tamanho do arquivo, pois emprega uma técnica de substituição de informações. Esta técnica tem a desvantagem de que o tamanho do arquivo de suporte deve ser proporcionalmente maior quanto a mensagem a ser oculta, ou seja, você precisa de 8 bytes para cada byte de imagem para esconder a mensagem, o que limita a capacidade máxima para armazenar uma imagem de uma mensagem escondida em 12,5%. Se você pretende usar uma parcela maior de bits da imagem (por exemplo, não só por último, mas os dois últimos bits de cada byte), pode começar a ser perceptível ao olho humano as distorções causadas na imagem final pela técnica de esteganografia.

Essencialmente, a esteganografia explora as limitações da percepção humana, pois os nossos sentidos não são capazes de detectar estas mínimas anomalias geradas pela técnica. Para detecção destas informações ocultas, empregamos uma técnica chamada de estegoanálise. Vou falar sobre as técnicas de estegoanálise em um próximo post.

Original publicado no blog da TechBiz Forense Digital.

Wednesday, December 15, 2010

TOP50 senhas idiotas, by Gawker Media

No último domingo, hackers divulgaram os usernames e passwords armazenadas no banco de dados do usuário Gawker Media.

O Wall Street Journal analisou os dados vazados e, ao melhor estilo CQC, produziu uma lista dos TOP50 senhas usadas em serviços hospedados no Gawker. Acredite ou não, a lista está cheia de senhas de segurança-zero, tais como números em ordem crescente (123456 e 12345678) e palavras ridículas (password e qwerty):

Mais de 3000 pessoas acreditam que 123456 é uma senha segura...


É perturbador descobrir que uma rede com blogs voltados para técnicos e pessoas entendidas de informática apresente senhas tão fracas.

Maiores informações em: http://blogs.wsj.com/digits/2010/12/13/the-top-50-gawker-media-passwords/

Friday, December 10, 2010

O tiro no pé da Nissan

Há pouco tempo atrás, a Nissan iniciou uma interessante ação dentro das redes de relacionamento: a promoção Quero Trocar Meu Carro Por Esse carrão, ou conhecida apenas por Quero Esse Carrão. Essa promoção tinha como objetivo também fazer uma boa propaganda dos carros da Nissan, porque vários usuários do Facebook e do Twitter podem conferir as novidades da Nissan e se tornarem futuros compradores.


Os prêmios da promoção Nissan quero meu carrão são dois carros diferentes, e cada um deles depende de qual rede social você usar na promoção, os usuários do Facebook estão concorrendo ao um Nissan Tiida Sedan, e os usuários do microblog Twitter estão concorrendo ao carro Nissan Tiida Hatch S.

Para quem usa o Twitter, basta se cadastrar no hotsite da promoção e postar o seguinte tweet: “Se eu conseguir 44.500 retweets com esse tweet ganho um carrão. www.nissan.com.br/queromeucarrao #queromeucarrao”, assim aquele que conseguir 44.500 retweets ganhara o Tiida Hatch S. Já os usuários de Facebook devem ter uma foto segurando um panfleto do anuncio da família Nissan Tiida, aquele que conseguir 44.500 “Curtir” na foto ganhara o carrão Nissan.

Pelo Twitter, em algumas horas, um perfil conseguiu os 45 mil RTs necessários, mas tamanha mobilização em tão pouco tempo gerou algumas suspeitas.


O mais interessante é que, pela interface WEB do Twitter, é possível visualizar a "origem" do tuíte, e este veio do "Quero meu Carrão"... WTF?

Após vários protestos no Twitter contra o perfil @tca_oficial, suposto ganhador da promoção, a Nissan resolveu se pronunciar e "corrigir" a falha do regulamento, sorteando um segundo carro para o Twitter e lançando a segunda nota:

COMUNICADO



COMO A AÇÃO REALIZADA PELA NISSAN DO BRASIL “QUERO MEU CARRÃO” É UMA AÇÃO INOVADORA, QUE DISTRIBUI PRÊMIOS ATRELADOS ÀS REDES SOCIAIS, E DIANTE DE ALGUNS QUESTIONAMENTOS LEVANTADOS NO TWITTER, A NISSAN, APÓS A AUDITAGEM REALIZADA PELA ALY CONSULTING, CONTRATADA PARA ACOMPANHAR TODO O PROCESSO DA AÇÃO ESCLARECE QUE:

A) DE ACORDO COM O REGULAMENTO DA AÇÃO PROMOCIONAL, O PERFIL @TCA_OFICIAL NO TWITTER FOI O PRIMEIRO A ATINGIR OS 44.500 RT . DESSA FORMA, A PARTICIPANTE CONQUISTOU O NISSAN TIIDA HATCH.

B) O REGULAMENTO FOI COMPLEMENTADO COM A INCLUSÃO DE UM COMITÊ AUDITOR, FORMADO POR ESPECIALISTAS DA INTERNET E REPRESENTANTES DA NISSAN E DAS EMPRESAS ORGANIZADORAS DA PROMOÇÃO.

O COMITÊ AUDITOR AVALIARÁ TODOS OS CASOS E DÚVIDAS QUE EVENTUALMENTE VENHAM A OCORRER NAS REDES SOCIAIS E TEM DECISÃO SOBERANA PARA DECIDIR DENTRO DO REGULAMENTO PROPOSTO. MEMBROS DO COMITÊ AUDITOR:

EDEN WIEDEMAN (@REALEDEN)
FLÁVIA PENIDO (@LADYRASTRA)
BRUNO BUCALLON (@OESTAGIARIO)
LILINE FERRARI (@LILIANEFERRARI)
CARLOS MURILO MORENO – DIRETOR DE MARKETING DA NISSAN DO BRASIL
MAURY TOGNOLO – DIRETOR DE ATENDIMENTO DA ID/TBWA
WALID ALY – AUDITOR INDEPENDENTE DA ALY CONSULTING
FABIO CHIORINI – XPRESS COMUNICAÇÃO

C) REAFIRMANDO SEU COMPROMISSO COM A TRANSPARÊNCIA E A SUA CRENÇA NA IMPORTÂNCIA DAS MÍDIAS SOCIAIS, A NISSAN COLOCARÁ UM SEGUNDO CARRO NA PROMOÇÃO PARA O 2º PARTICIPANTE QUE ATINGIR 44.500 RT NO TWITTER OU TIVER O MAIOR NÚMERO DE RETWEETS AO FINAL DA AÇÃO, QUE SERÁ NO DIA 22 DE DEZEMBRO DE 2010.

A AÇÃO “QUERO MEU CARRÃO” NO FACEBOOK AINDA NÃO TEM UM GANHADOR E CONTINUA VÁLIDA ATÁ QUE UM PARTICIPANTE ALCANCE 44.500 “CURTIR” OU TENHA MAIS REGISTROS NESTE ÍCONE, CONFORME O REGULAMENTO.

CONTINUE PARTICIPANDO!
BOA SORTE!

NISSAN DO BRASIL
Os highlights foram por minha conta... 

Parabéns ao ganhador da promoção! Encontrou um "bug" no regulamento da promoção, usou um script para faturar e a Nissan irá entregar seu carro! [SARCASM mode=on]

Após a ação, a Nissan liberou a versão 1.1 do regulamento, para garantir que novas falcatruas não sejam utilizadas...

Se o objetivo da Nissan era agitar as redes sociais, ela atingiu o objetivo com esta ação. A falha da Nissan, na minha humilde opinião, foi desconhecer as redes sociais a ponto de não conseguir prever que scripts de Twitter são velhos conhecidos da comunidade. Talvez não a Nissan, mas a equipe responsável por esta ação de marketing, por tentarem inovar e utilizar uma mídia ainda pouco explorada....

No momento em que eu escrevo este post, o perfil @tca_oficial estava suspenso no Twitter.

Tuesday, December 7, 2010

EnCE x ACE

Por serem as maiores e principais fornecedoras de softwares de computação forense, é natural que exista uma certa rivalidade entre a Guidance Software (fornecedora do EnCase) e a AccessData (fornecedora do Forensic ToolKit, FTK). No meu ponto de vista, são dois excelentes produtos, cada um levando vantagem e se destacando em determinado aspecto (FTK tem indexação em Oracle, EnCase tem o EnScript...). Cada um destes fornecedores oferecem exames de certificação para seus produtos: EnCE para o EnCase e ACE para o FTK.

O exame de certificação da AccessData é um pouco mais simples, podendo ser realizado de casa, com consulta, mas ainda assim com o tempo limitado e algumas questões complexas, mas todas as questões voltadas ao uso das ferramentas que compõe o FTK: FTK Imager, PRTK, Registry Viewer. O exame de renovação e manutenção do ACE é um pouco mais complexo, mas ainda assim não há necessidade de se apresentar a um centro de provas (Vue ou Prometric) para realização deste exame.


Já o exame da Guidance Software propõe questões mais complexas e deve ser feito em um centro de provas credenciado da Prometric, e engloba não só questões sobre o produto, mas questões sobre computação forense como um todo. No manual oficial da certificação da Sybex, só a partir do capítulo 5 que se começa a falar do EnCase, os primeiros capítulos são focados em hardware, file system e outros conceitos de computação forense. Há ainda alguns pré requisitos para obtenção desta certificação, como participação em pelo menos dois treinamentos oficiais ou pelo menos um ano de trabalho (comprovados) em computação forense.


Particularmente, eu acho que a abordagem da AccessData é mais interessante, a final, o que eu busco é uma certificação no produto EnCase! Se eu quisesse uma certificação em computação forense, estaria estudando para o CHFI =). Mas ainda assim, seria melhor se o exame de certificação da  AccessData fosse realizado em um centro de provas da Prometric, pois garante uma "seriedade" maior para este exame de certificação.

Ainda não postei nada sobre o meu self-study para o EnCE por que ainda não cheguei ao capítulo 5 do manual (o.O). Afinal, relembrar alguns conceitos é sempre muito importante!

Por exemplo, o que significa o valor "??" em uma entrada na tabela FAT?? Quem quiser utilizar os comentários pode ganhar um brinde =)

Thursday, December 2, 2010

Especialistas testam segurança de empresas com impressoras “contaminadas”

Na área de tecnologia, um cavalo-de-tróia é uma das piores pragas que podem infectar um computador. Ele abre as portas da máquina e deixa um hacker controlá-la como quiser. Mas isso é na área de software. Uma empresa de segurança chamada Secure Network Technologies, no entanto, esticou esse conhecido conceito para a área de hardware. Seus pesquisadores embutiram pontos de acesso sem fio dentro de impressoras para ganhar acesso à rede das empresas.




O teste de segurança ocorre de uma maneira que deixaria Ulisses orgulhoso de ver o seu truque sendo usado nos dias atuais. Um dos funcionários da empresa se veste com um uniforme de uma empresa de tecnologia qualquer e deixa um pacote com uma impressora ou outro componente de hardware na empresa alvo. Dentro dessa impressora, há um ponto de acesso sem-fio escondido. Uma vez que ela é ligada na tomada, esse ponto de acesso é ativado e os pesquisadores passam a ter uma porta de entrada escancarada na rede da empresa.
Estranhamente, a ideia original de fazer esse tipo de ataque surgiu de uma mentira. A inspiração foi um artigo mentiroso que foi publicado pelo na revista americana InfoWorld em primeiro de abril de 1991. O texto dizia que o governo dos EUA usaram o método de impressoras contaminadas para infiltrar a rede de comunicações iraquiana e derrubá-la logo depois.

Então se você for o responsável de TI na sua empresa e acha que pode ser alvo desse tipo de golpe, lembre-se de checar dentro de impressoras por cabos soltos ou caixas que não parecem pertencer ao interior delas.

Com informações: SlashdotInfoWorld.

Copiei daqui.

Missão: EnCE

Olá pessoal! Quem acompanha o blog sabe que há algum tempo atrás (meados de abril/10, acho) eu comecei a me preparar e me focar em um exame de certificação muito importante profissionalmente: o EnCE, título concedido pela Guidance Software, a fabricante do já consagrado EnCase. Desde então, muitas coisas aconteceram, e por questões estratégicas, acabei me focando e especializando nas soluções da AccessData, fabricante dos também consagrados FTK e AD LAB. (Inclusive me certifiquei nos produtos da AccessData, me tornando assim um ACE!)




A questão é que agora devo retomar meus estudos para o exame certificação da Guidance (EnCE) e, para isso, vou utilizar este blog. Como? Vou narrar aqui os meus estudos, será uma forma de dividir o conhecimento (objetivo principal do blog) e trocar idéia com quem estuda / já estudou para este exame.

Como guia de estudos, estou utilizando o manual de estudos oficial do EnCE, escrito por Steve Bunting, o melhor e mais indicado para quem vai prestar este exame de certificação:

Não adianta clicar na imagem, não é um link para download =)

Este manual é muito bom, pois acompanha uma versão "especial" do EnCase para trabalhar com os arquivos de evidencia fornecidos no livro, então dá para estudar e praticar, muito bom!

Nos próximos posts, irei falar sobre a ferramenta EnCase e sobre este exame de certificação!

Maiores informações sobre o processo de certificação EnCE podem ser encontradas aqui.

PS: Comprei os livros do CISSP, mas a Amazon ainda não entregou, então meus estudos para este exame estão "pausados" =(

Wednesday, November 24, 2010

Advanced Forensics Format - AFF

Uma das novidades do FTK Imager 3.0 que eu comentei no post passado é o suporte ao formato de imagem AFF. Algumas pessoas me perguntaram sobre este formato e resolvi escrever este post de hoje.

O AFF (Advanced Forensics Format, ou Formato Forense Avançado) é um formato extensível aberto para o armazenamento de imagens de disco e de metadados relacionados à computação forense. Foi desenvolvido por Simson Garfinkel e a empresa Basis Technology.


Usando o AFF, o investigador não estará preso a um formato proprietário (E01, DD, A01), o que pode limitar a forma como este pode analisar os dados, como ferramentas incompatíveis com um formato ou outro.


AFF suporta dois algoritmos de compressão: zlib, que é rápido e razoavelmente eficiente, e LZMA, que é mais lento, mas muito mais eficiente. O zlib é o mesmo algoritmo de compactação usado pelo EnCase. Como resultado, arquivos AFF compactados com zlib são aproximadamente do mesmo tamanho que o arquivo  equivalente no formato EnCase. A grande vantagem é que arquivos AFF  podem ser "re-compactados" (!) utilizando o algoritmo LZMA. Esses arquivos tem um tamanho aproximado de 1/2 a 1/10 do tamanho do original AFF / arquivo EnCase.

Outra vantagem é que o formato AFF 2.0 suporta criptografia de imagens de disco. Ao contrário da senha implementadas pelo EnCase, imagens criptografadas não podem ser acessados sem a chave de criptografia.



Maiores informações estão disponíveis em http://afflib.org/ e http://www.basistech.com/digital-forensics/aff.html

Enquanto pesquisava sobre o tema para escrever este post, encontrei ótimas referencias em:




Recomendo a leitura!

Tuesday, November 23, 2010

FTK Imager 3.0

A AccessData, fornecedora do aclamado FTK, liberou recentemente a versão 3 do seu utilitário de aquisição de imagens forenses, o FTK Imager. O FTK Imager sempre foi considerado uma ferramenta muito importante para criação de imagens de discos, com uma interface limpa e simples.

Agora na versão 3, a AccessData adicionou alguns recursos interessantes, e eu gostaria de chamar a atenção para o que, na minha opinião é o melhor recurso: Image Mounting. Este recurso permite ao perito acessar as imagens como se fossem discos plugados ao computador. Imagens do tipo EnCase, Smart, AFF (Advanced Forensic Format) e DD são suportadas. Imagens lógicas do EnCase e da AccessData também podem ser acessadas desta forma. Antes que eu me esqueça, o FTK Imager não requer licenciamento, podendo ser utilizado por qualquer pessoa!




Monday, November 22, 2010

Números de celulares ultrapassa número de habitantes no Brasil

Dados recentes da ANATEL dão conta de mais de 194.439.250 linhas de telefones celulares ativas no Brasil. Esta informação foi contabilizada dia 30 de outubro deste ano, ultrapassando assim o numero total de habitantes que segundo o IBGE é de 193,595 milhões. A tendência é que esse numero aumente ainda mais em 2011, ainda mais com os novos smatphones  cada vez mais sofisticados e com preços  acessíveis.
Isso é muito bom, graças a privatização das teles, temos hoje uma facilidade de comunicação e uma mobilidade inédita! A questão que preocupa é: deste número, quantos estão nas mãos da nossa população carcerária?? Estarão as forças da lei preparadas para atuar com os devices apreendidos em ações nas penitenciarias (leia mais em http://www.clicrbs.com.br/especial/rs/diario-gaucho/19,0,3116994,Apreensoes-de-celulares-em-cadeias-alarmam-Justica.html) ou apreensões rotineiras?


Hoje no Brasil podemos citar quatro fortes fornecedores de produtos para perícia em telefones celulares, sendo duas empresas dedicadas (MSAB e Cellebrite) e dois grandes players de computação forense com dispositivos para forense de celulares (Guidance Software e AccessData):
  • ·         XRY / XACT (MSAB)
  • ·         UFED (Cellebrite)
  • ·         Neutrino (Guidance Software)
  • ·         MPE+ (AccessData)

Basicamente, estas soluções são compostas por um conjunto de cabos para conexão aos diferentes modelos de aparelhos celular e um software para análise das informações capturadas nos devices. Algumas soluções acompanham também interface bluetooth e/ou infra-red, ampliando ainda mais a gama de aparelhos atendidos, sem necessidade de um cabo de conexão. De uma forma geral, depois de estabelecida uma comunicação com o aparelho celular (via cabo ou via bluetooth/infrared), faz-se um “dump” das informações contidas nos aparelhos celulares e então se analisam os dados capturados em uma interface única. O que diferencia uma solução da outra é:

  • ·         Capacidades para interagir com diferentes modelos de telefones celulares? Algumas soluções simplesmente não funcionam com aparelhos iDEN, utilizados por operadoras de rádio, como a Nextel.
  • ·         Funcionalidades para aquisição de informações (Por exemplo, neste “dump” de memória realizado, o produto consegue capturar informações excluídas do telefone celular - dump de memória física? Outro exemplo: é necessário fazer o dump de toda memória ou é possível capturar apenas algumas informações pontuais, como contatos e lista de chamadas – imagine o tempo necessário para fazer um dump de um iPhone de 32GB?)

A grande vantagem de se trabalhar com estes produtos é a capacidade de, em uma única interface, poder se analisar diversos modelos de telefones celulares e smartphones. Imagine a quantidade de telefones disponíveis no mercado hoje. Cada um tem uma interface própria e uma maneira diferente de se navegar pelos menus e opções. Aprender a operar todos estes aparelhos é uma tarefa árdua. E desnecessária. Utilizando um destes produtos, o investigador sempre saberá onde estão as relações das chamadas recentes, chamadas não atendidas, SMSs/E-Mails enviados e recebidos, histórico de navegação na WEB (se houver).

Irei escrever aqui neste blog informações sobre cada um destes produtos, o mais detalhado possível. Mas já adianto que será complicado definir qual o melhor ou pior produto. De uma forma geral, são todos bons e cumprem o que promete. Se perícia em telefones celulares é uma tarefa crítica para você, recomendo ter pelo menos duas destas soluções em seu laboratório forense, pois uma solução completa a outra, uma solução cobre a “sombra” da outra.

Recentemente, a viaForensics publicou um white paper muito bom comparando várias outras soluções para forense para celulares, especificamente para investigações em iPhone: http://viaforensics.com/education/white-papers/iphone-forensics/

Wednesday, November 3, 2010

AccessData LAB



Quando falamos em computação forense, logo pensamos em complexas interfaces para investigação e análise de evidências. Essa idéia representa um desafio para o pessoal leigo (pessoas não técnicas) acessar e revisar as evidências dos casos. A equipe da AccessData conseguiu enxergar o óbvio: qual o software que praticamente todo mundo utiliza o tempo todo? Utiliza para acessar o Orkut, o Facebook, o Twitter, o Gmail e o Hotmail?? 



Combinando uma arquitetura de administração centralizada e o poder da computação distribuída, o AD LAB está preparado para enfrentar o crescimento de dados que desafia os investigadores de computação forense. A grande diferencial do LAB é a integração da interface WEB (chamada de Reviewer) com a interface do FTK (chamada de Examiner): um arquivo marcado com um flag na interface web, reflete imediatamente na tela do examinador. Isso é possível pois ambos os usuários do sistema (revisor e examinador) estão acessando a mesma base de dados Oracle:


Nesta arquitetura, é possível que mais de um examinador trabalhe no mesmo arquivo de evidência, simultaneamente, tal como vários revisores trabalhem no mesmo caso, mas limitando o acesso aos revisores, por exemplo: um revisor do caso 001 só terá permissão de acesso aos e-mails do caso, e o segundo revisor, trabalhando no mesmo caso 001, só terá permissão de acesso aos gráficos encontrados no caso.

Para os interessados, recomendo o Webinar da AccessData sobre o LAB. [Em inglês]

Maiores informações em http://accessdata.com/lab.html

AccessData Authorized Instructor


Quem me acompanha no Twitter já sabe, mas decidi anunciar aqui no blog também: participei de um treinamento da AccessData em Los Angeles - Califórnia nos dias 05, 06 e 07 de outubro e, desde então, estou autorizado oficialmente a repassar o treinamento AccessData Bootcamp em FTK 3 aqui no Brasil.

Já temos oito turmas agendadas por todo o Brasil! Maiores informações em forensedigital.com.br.

Thursday, October 28, 2010

Seus dados ainda estão aqui...

Algumas pessoas pensam que estão seguras e seus dados estão a salvo. Mesmo usuários mais experientes, utilizando modernos sistemas de eliminação de informações de navegação, acreditam que conseguem eliminar seus rastros. Este vídeo mostra que, algumas informações são mais resistentes do que esperamos =)


Tuesday, October 26, 2010

AccessData anuncia FTK3.2 e Imager 3.0

Principais novidades incluem suporte ao sistema de arquivos EXT4 e análise de memória RAM de sistemas 64bit.


A AccessData, uma das principais fornecedoras de software de investigação forenses do mundo, anunciou novidades importantes em sua linha de produtos: FTK 3.2 e Imager 3.0. A AccessData teve muitos problemas na versão 2.X do FTK, mas conseguiu se redimir com a versão 3.X  e, desde então, só vem aprimorando a suíte de aplicativos forenses. A principal característica do FTK, que o distancia ainda mais dos seus concorrentes, é a indexação dos arquivos de evidências em um banco de dados Oracle, totalmente otimizado para ser utilizado pelo FTK. O processamento distribuído de evidências (já comentado em outros posts aqui no Blog) é uma outra característica muito importante do sistema.



Dentre as novidades do FTK 3.2, destacam-se:


FILE SYSTEM, FORENSIC IMAGE AND FILE SUPPORT...
  • Create and process Advanced Forensic Format (AFF) images.
  • Process and analyze DMG (compressed and uncompressed), Ext4, exFAT, VxFS (Veritas File System), Microsoft VHD (Microsoft Virtual Hard Disk), and Blackberry IPD backup files.
  • Sophos Enterprise and S/MIME decryption support with proper credentials.
ENHANCED WINDOWS MEMORY ANALYSIS...
  • AccessData now offers the first and ONLY commercial computer and enterprise forensics products with 64-bit memory analysis!
  • Ability to identify/display kernel structures involved with network miniport and file system filter drivers.
  • SSDT/IDT/IRP hook detection.
GREATER PROCESSING SPEED AND FLEXIBILITY...
  • Processing speed for email archives, such as PSTs, EDBs and NSFs has been increased by 200%! (Times vary, depending on the hardware.)
  • New selective archive expansion allows a user to define "drill down" options and specify which files are expanded during processing (i.e. only ZIP and PST files).
ADVANCED EMAIL ANALYTICS...
  • Email Items tree view completely refreshed:
  • Email By Date -- organized by Year, then by Month, then by Date for both Sent and Received.
  • Email Addresses -- organized by Sender/ Recipient, and subcategorized by Date, Email Domain, Display Name and Email Address.
PHYSICAL AND VIRTUAL DEVICE MOUNTING...
  • Safely mount a forensic Image (AFF/DD/E01/S01) as a physical device. Any tool that enumerates devices can find it, such as FTK Imager. Also supports booting forensic images in VMWare. 
  • Mount a logical image (AD1/L01) and physical image (AFF/E01/DD/S01) as a virtual device or volume. Once mounted the read-only media is available to any third-party Windows application and exposes the same file system artifacts as FTK.  For example you can mount an HFS+ image, and it will show up as a volume on the examiner's machine in the explorer view.
GLOBAL FILTERS, CARVERS, COLUMNS AND LABELS...
  • Users can now define global columns, carvers, filters and more, and have these available for use on all cases.
DEVICE RESTORATION...
  • Quickly restore your forensic image to media for distribution, processing with other tools, etc. This feature works with several types of forensic images.
And more!


Sobre o Imager 3.0, as principais novidades são:


PHYSICAL AND VIRTUAL DEVICE MOUNTING...
  • Safely mount a forensic Image (AFF/DD/E01/S01) as a physical device. Any tool that enumerates devices can find it, such as FTK Imager. Also supports booting forensic images in VMWare.  
  • Mount a logical image (AD1/L01) and physical image (AFF/E01/DD/S01) as a virtual device or volume. Once mounted the read-only media is available to any third-party Windows application and exposes the same file system artifacts as FTK.  For example you can mount an HFS+ image, and it will show up as a volume on the examiner's machine in the explorer view.
NEW FILE SYSTEM and FORENSIC IMAGE SUPPORT...
  • Create and view Advanced Forensic Format (AFF) images.
  • New support for DMG (compressed and uncompressed), Ext4, exFAT, VxFS (Veritas File System), and Microsoft VHD (Microsoft Virtual Hard Disk)

    Maiores informações e download do sistema (é necessário licença para utilizar o sistema) podem ser obtidas em: http://www.accessdata.com/products/ftk/ad_ftk32_ftp.aspx

    Monday, September 27, 2010

    Grid Computing aplicado à Computação Forense II

    No último post sobre AccessData, falamos sobre processamento distribuído e da implementação da AccessData deste recurso no Forensic Toolkit (FTK), a partir da versão 3.


    site da AccessData sobre o processamento distribuído traz alguns gráficos sobre os ganhos obtidos em computação paralela. Resolvi realizar meus próprios testes para medir os ganhos: Utilizando o FTK já existente em meu notebook (Dell Latitude E6410, Core i5, Windows 7 64-bit e 8 GB RAM) como examinador e mais três desktops Dell (Dell Vostro, Core i3, Windows XP 64-bit e 4GB RAM) para o processamento distribuído. Para este teste, processei e indexei uma imagem formato E01 de 17GB de dados.

    Máquina examinadora os componentes de processamento distribuído


    Estes testes realizados em nosso laboratório refletem o ambiente utilizado pela AccessData para geração dos resultados mostrados a seguir. Todos os computadores utilizados, tanto no examinador quanto no processamento distribuído são na mesma configuração: Windows 7 64-bit, 8GB RAM, AMD Phenom™ II X4 955 Processor 3.20 GHz (quad core). Nestas máquinas foram processadas quatro imagens de tamanhos e quantidades de itens distintos, conforme tabela:


    Pelo resultado informado, percebe-se um ganho monstro no processamento das imagens quando se utiliza recurso de processamento distribuído, o que nos instiga mais ainda a testá-lo. O procedimento de configuração é extremamente simples: instala-se um agente nas máquinas que farão o processamento remoto, depois informa ao FTK o endereço IP (ou nome DNS) dos nós remotos. Não tem como ser mais simples...

    Voltando ao meu teste, um arquivo de evidência de 17GB (E01) processado em "single node" demorou 2 horas para ser processado e indexado, enquanto utilizando o poder da computação distribuída, o tempo foi de 40 minutos. Estatisticamente, meus testes levaram um tempo maior para ser concluído do que os testes da AccessData, mas isso se deve ao fato de estar utilizando uma rede Gigabit, e não 10 Giga, conforme recomendado. Pude perceber que as máquinas clientes, utilizadas para processamento distribuído, levaram mais tempo para "baixar" a porção de dados a ser processada do que processando a evidencia propriamente dita. Estou providenciando um teste em rede 10 Giga para podermos avaliar realmente a performance das máquinas, mas pelo que eu ví nos testes, a performance é surpreendente. Acredito que os ganhos informados pela AccessData são reais. Voltaremos a falar sobre o processamento distribuído em próximas oportunidades!!


    Sunday, September 26, 2010

    Vulnerabilidade no YouTube permite mudar títulos de vídeos

    Tudo que sabemos por enquanto é que alguém encontrou uma vulnerabilidade no site de vídeos do Google que permite que os títulos do vídeo sejam alterados sem o consentimento dos donos. Dentre os canais afetados estão os de vários artistas do VEVO, além do canal do vlogger brasileiro Felipe Neto.
    Quem descobriu a falha alterou diversos títulos para “@migueltarga e @saadzim_ Amaram seu video *-*!” e outras variações. Ao conferir as contas do Twitter de ambos os usuários, pode-se deduzir que foram eles próprios que encontraram e exploraram essa vulnerabilidade. Miguel diz, em inglês, “YouTube Bug, é assim que eles vão consertar! Eu não sou um hacker, eu não tenho nenhuma senha, eu não tenho acesso a nenhuma conta”.

    Mais uma falha no Twitter...

    O Twitter comunicou no começo da noite deste domingo, que a falha que atingiu o microblog na manhã de hoje já foi corrigida. Segundo o site, foram retirados da página todos os termos ofensivos que entraram no Trending Topics.

    Durante todo o dia, era possível entrar no Twitter e se deparar com a mensagem “WTF: [link]”. Ao clicar no link, o usuário publica duas mensagens no site: a primeira com a mesma mensagem que contém o link, e outro com a afirmação “i love anal sex with goats” (“eu amo sexo anal com cabras”). Só foi afetado quem estava logado no twitter.com, não usuários de serviços como o Tweetdeck ou HootSuite.

    O vírus foi informalmente batizado de “#wtfworm” com base na mensagem enviada. “Goats” (“Cabras”) foi parar nos Trending Topics (tópicos principais) do Twitter. Diferentemente dos vírus anteriores, a praga deste domingo infectou mais usuários estrangeiros do Twitter, devido à mensagem em inglês (“WTF” é uma sigla para “what the fuck”, ou “que isso?”, numa tradução branda).

    Semana de ataques
    Na terça-feira (21) o Twitter já havia sofrido um ataque que, no caso, impediu a utilização do microblog. A falha explorada fazia com que, ao passar o mouse em cima de um código publicado por outro usuário, a interface ficasse bagunçada, espalhando o problema para outras pessoas. Já na quinta-feira (23), a rede social Facebook saiu do ar por duas horas e meia por conta de uma falha que sobrecarregou o banco de dados do site.No sábado (25), hackers exploraram uma falha no Orkut, fazendo com que mais de 185 mil usuários fossem infectados e levados para a comunidade "Infectados pelo vírus do Orkut". Neste domingo (26), o YouTube sofreu um ataque que explorava uma falha do site, permitindo que hackers alterassem os títulos dos vídeos.

    Ataques Cross-Site Scripting marcam a semana

    Ataques XSS estão se tornando um grande problema e piorarão ainda mais se as pessoas não tomarem conhecimento desse tipo de ataque e suas vulnerabilidades.


    Vulnerabilidades XSS têm sido encontradas em sites muito populares aqui no Brasil, como Twitter e Orkut.

    Muitos administradores de sites falham em não atentar-se para ataques XSS, porque ou eles não sabem muita coisa sobre esse tipo de ataque, ou não os vêem como um problema.

    No começo desta semana, alguns usuários do twitter receberam na sua timeline um codigo que cria um box preto no seu profile e, ao clicar ou visitar um profile “infectado” você acaba retuítando automaticamente o código.


    Agora é a vez do Orkut: usuários da rede social que receberam recados desejando um Bom Sábado de seus amigos estão recebendo também códigos JavaScript que adicionam os usuários a uma comunidade. Basta  entrar na página de recados para ser direcionado para a página "Infectados pelo Vírus do Orkut", e passar  o "bug" automaticamente para os amigos. Alguns usuários dizem que o script executado pelo worm também adiciona diversas comunidades ao perfil infectado


    Na comunidade "Infectados pelo Vírus do Orkut",  Rodrigo Lacerda assume a autoria do bug e explica: "Você chegou aqui através de uma falha grave no orkut. A falha já foi comunicada ao Google e deve ser corrigida em breve. A comunidade só tem o intuito de forçar uma correção mais rápida"

    stuxnet, o worm que pode causar danos reais

    Programado para destruir ou danificar o programa nuclear iraniano, o Stuxnet chamou a atenção da comunidade de segurança por suas características únicas de design.

    Hoje foi noticiado por agências internacionais que o vírus, pelo menos em parte, alcançou seu objetivo. Os iranianos acusaram o golpe como se pode ver neste relato.

    O stuxnet infecta os computadores principalmente pela porta USB usando vulnerabilidades do AutoRun.inf em computadores rodando Windows. No entanto, parece que algumas variantes do Stuxnet foram feitas para atacar sistemas embarcados com capacidade específica de reprogramar FPGA e CLP. O objetivo final destas versões é conseguir causar dano físico em equipamentos fabricados pela Siemens que são usados no programa nuclear iraniano.

    Uma matéria da Wired do mês de setembro especula que pode ter custado milhares de dolares o desenvolvimento do Stuxnet e que há fortes indícios que não foi feito por amadores.

    A Siemens soltou um alerta sobre o assunto mas parece que o alvo do Stuxnet foi atingido. Não sabemos no entanto o tamanho do dano causado e se de fato conseguiu brecar o programa nuclear iraniano.

    O pesquisador identificado como Ralph mostra em seu site que os iranianos deram a dica involuntáriamente como mostra o screenshot abaixo.


    Para maiores informações, recomendo a leitra do post StuxNet: CyberWarfare existe!, pelo meu amigo Suffert.

    Thursday, September 23, 2010

    Treinamento sobre soluções AccessData é sucesso no ICCyber


    Luiz Sales Rabelo e Adrian Culley no treinamento AccessData
    Luiz Sales Rabelo e Adrian Culley no treinamento AccessData
    Consultor da Forense Luiz Sales e Adrian Culley da AcessData mostraram na prática os benefícios do FTK e ADLab
     A TechBiz Forense Digital permitiu que o público do ICCyber tirasse a prova dos nove dos equipamentos desenvolvidos por sua parceira norte-americana AccessData, em treinamentos hands on realizados nos dias 16 e 17 de setembro com o  FTK e o ADLab.  As soluções permitem que peritos e examinadores investiguem um caso, detectando incidentes, analisando dados, relatando as ocorrências e preservando judicialmente as evidências coletadas. No caso do ADLab, a investigação pode ser feita de forma colaborativa, dividindo simultaneamente o trabalho entre os diversos profissionais envolvidos no caso.
    De posse de um notebook com os softwares instalados, profissionais das forças policiais, Ministérios Públicos e empresas privadas presentes no ICCyber simularam a busca por conteúdo suspeito nas máquinas. A primeira constatação foi a de que não é preciso ser um bom entendedor de tecnologia para lidar com os programas, que têm interfaces altamente intuitivas.
    “Você pode deixar 40 Discos Rígidos sendo processados pelo FTK ao mesmo tempo durante um fim de semana, por exemplo, e, mesmo que ocorra algum erro em um dos HD, o processamento das demais máquinas não será interrompido”, explicou Luiz Sales Rabelo, consultor da TechBiz Forense Digital. “À medida que o software vai processando, ele aloca os arquivos encontrados na seção Evidência. Na segunda-feira, o arquivo vai estar todo processado e é só digitar uma palavra-chave para encontrar uma informação desejada”, completou Rabelo, que ministrou o treinamento ao lado de Adrian Culley, da AcessData. 
    Os participantes comprovaram a facilidade de encontrar os dados digitando no Data Search a palavra “Money”, referente ao caso de estudo. A busca ocorreu no tempo do clique do mouse porque o índex da ferramenta interage diretamente com o banco de dados Oracle, o que torna a operação muito mais rápida.
    Para cada palavra pesquisada, o programa apresenta o número de hits e documentos encontrados, como em uma pesquisa do Google. Também é possível trabalhar com os operadores lógicos ‘and’ e ‘or’. Por exemplo, no caso de se juntar à palavra money containing, o software realiza a pesquisa com containing and money ou containingor money e especifica os arquivos em que cada dupla aparece.
    As ferramentas da AccessData também importam o arquivo de palavras-chaves recebido pelo perito para realizar a investigação. Após a importação, o contador da ferramenta alerta a quantidade de itens encontrados no HD contendo as keywords solicitadas. No treinamento prático, o FTK apontou mais de 17 mil hits.
    Clicando no botão Overview é possível ver os arquivos em divisões e cabe ao examinador especificar o que deseja ver: apenas arquivos .docx, ou só .doc, ou .txt. E o programa obedece apontando, no caso da prática realizada no ICCyber, 169 arquivos encontrados, entre eles,cookies. “O FTK traz toda a estrutura do disco, todas as partições, incluindo aquele finalzinho do disco, os espaços não particionados, que podem conter informações relevantes para a investigação”, informa Rabelo.
    No caso do ADLab, que é a versão laboratório do FTK, o grande diferencial é o processamento distribuído, que permite centralizar as evidências e, ao mesmo tempo, compartilhar os recursos com infinitas máquinas. “O ADLab tem uma interface totalmente web que permite que os revisores dividam as tarefas do caso. Durante a investigação, tudo o que eu achar que é responsivo, que mereça atenção, eu marco com um bookmark, que compila as informações em um relatório. De forma mais clara e prática, se você possui um caso para gerenciar, que envolve fraude dentro da empresa, por exemplo, você dá permissão para que os demais investigadores acessem determinadas informações e já indica no programa: isso é possivelmente uma evidência. Por favor, investigue”, conta Rabelo.

    fonte: http://www.forensedigital.com.br/new/treinamento-sobre-solucoes-accessdata-e-sucesso-no-iccyber/