Wednesday, June 30, 2010

A Regra de Ouro do Investigador de Crimes por Meios Eletrônicos

Um texto de excelente qualidade e conteúdo sobre o trabalho de um perito de Forense Digital pode ser lido no site Cyber Crimes - Delegado Mariano:
O tipo de sistema de computador ou meio eletrônico que um investigador poderá encontrar em uma cena de crime tem um certo valor tangível e intangível para o proprietário, a vítima, suspeito ou testemunha.Como este valor é medido não só em termos financeiros, mas também em termos de valor informativo, existem várias perspectivas que o investigador deve estar preparado para analisar.

Clique aqui para ler o resto do artigo.

FBI falha em quebrar criptografia de discos rígidos de Daniel Dantas

Olá amigos! Para fechar bem o mês de junho, uma reportagem muito boa sobre criptografia: Alguém se lembra da CPI das Escutas Telefônicas da Câmara dos Deputados, vulga CPI dos Grampos?? Alguém se lembra do Daniel Dantas, sócio-fundador do Grupo Opportunity?? Alguém se lembra da operação Satiagraha?? E quem ganhou as três últimas edições do BigBrother Brasil, alguém lembra? (a-há! =) )


Infelizmente, o povo brasileiro não é conhecido pela sua boa memória ou grande interesse por politica, haja visto o resultado das últimas eleições... Mas o objetivo deste blog não é discutir política. Então o que tem haver a operação Satiagraha, o banqueiro Daniel Dantas e este blog? O uso de criptografia para ocultação de informações sensíveis. Explico melhor: deflagrada em julho de 2008, a operação Satiagraha apreendeu 6 HDs no apartamento do banqueiro, num total de 2,08TB de dados, segundo reportagem do G1.
Segundo a reportagem, "O sistema de criptografia usado é um dos mais sofisticados do mercado, chamado AES 256 bits. Uma tecnologia inferior a essa, a de 128 bits, permite uma quantidade de combinações de senhas que tem como grandeza o número 3 seguido de 38 zeros.
O sistema utilizado para criptografar os discos? "a assessoria de Daniel Dantas informou que "os HDs foram criptografados a partir de dois programas disponíveis na internet. O primeiro, líder de mercado, chamado PGP, pode ser encontrado na página www.pgp.com. O outro, Truecrypt, gratuito, está hospedado no endereço www.truecrypt.org"."
A ajuda aos EUA só foi pedida no início de 2009, após os peritos do Instituto Nacional de Criminalística (INC) terem falhado nos esforços de decodificar as senhas dos HDs. O governo não tem nenhum instrumento jurídico para obrigar nem o fabricante americano do sistema de criptografia nem Dantas a ceder os códigos de acesso. Em lugares como o Reino Unido, Daniel Dantas poderia ser obrigado a revelar a chave para acesso aos arquivos...


Após um ano de tentativas frustradas, O FBI não conseguiu quebrar o sistema de criptografia dos discos rígidos, e em abril a polícia federal norte-americana devolveu os equipamentos ao Brasil. O INC e o FBI empregaram a mesma tecnologia para tentar quebrar a senha: "dicionário". Os peritos do INC usaram essa técnica por cinco meses até desistirem, em dezembro de 2008, quando o juiz responsável pelo caso, Fausto De Sanctis, autorizou o envio dos discos para os Estados Unidos.

Os equipamentos continuarão sob a guarda da PF. Os peritos do INC esperam que novos dados da investigação ou que uma nova tecnologia os ajudem a quebrar as chaves de segurança.

Meus comentários: Enquanto o INC aguarda, a Digital Intelligence lançou no mercado de computação forense uma estação dedicada para a tarefa de quebra de senhas, chamado FRED SC (meu amigo Suffert já escreveu um excelente texto sobre o FRED SC). Sabemos que a técnica empregada (dictionary attack) pode ser eficiente em alguns casos, mas em outros nem tanto... Brute force me parece um trabalho que será concluído pelas gerações futuras, visto a quantidade de combinações possíveis geradas por um algoritimo de 256 bits... Vamos ver se alguma próxima edição do FRED SC dá conta do recado...


Quer entender como AES128 bits funciona?

UPDATE 07/07:

Um artigo interessante, focando  a questão do software livre TrueCrypt no tema deste post, pode ser lido aqui.

UPDATE 07/07:

Como deveria ser a abordagem deste tema:


Tuesday, June 29, 2010

wipe - sanitização dos dados

Como já disse anteriormente, "Excluir" é um termo impróprio (em http://forensics.luizrabelo.com.br/2010/05/excluir-e-um-termo-improprio.html), pois o sistema operacional não apaga uma informação do disco. Mesmo quando utilizamos os comandos “DELETE” ou “ERASE” , os dados continuam no disco rígido, mas a área do disco ocupada por estes dados está disponível para ser utilizada pelo sistema operacional, que "enxerga" esta área como FREE SPACE.

Para remover com segurança uma informação sensível do disco (sanitizar o disco), existem diversas opções, mas no fundo todas utilizam a mesma técnica, chamada WIPE. Traduzindo literalmente, WIPE significa LIMPAR.

O DOD (Unites States Department of Defense, Departamento de Defesa dos Estados Unidos) estabelece determinadas normas com relação ao saneamento de discos. A especificação relevante, contida no manual 5220.22M do DOD de 1995, define que uma especificação sanitária de disco aceitável é uma “sobrescrição de todos os locais acessíveis com um caractere, seu complemento e, em seguida, um caractere aleatório e verificação”.

O padrão "Wipe Out DoD" garante um disco sanitizado após três padrões de dados serem escritos completamente no disco seis vezes (cada padrão é escrito duas vezes):

  • A primeira "passada" escreve UM (1) nas áreas de dado do disco (hex: 0xFF);
  • A próxima "passada", escreve ZERO (0) nas áreas de dado do disco (hex 0x00);
  • Após este padrão de UMs e ZEROs, uma sétima passada grava um código designado pelo governo no disco (“246”, hex 0xF6), que é seguido por uma oitava passada que verifica o se algum dado ainda pode ser lido no disco.


Ok, muito bacana a informação e a pesquisa técnica, mas, e no EnCase? Bem, no EnCase há uma opção para sanitização de disco, mas uma observação no manual do usuário já deixa bem claro que deve-se utilizar com cautela:




Sanitizar um disco com o EnCase é extremamente fácil:

Pelo menu Tools, acesse a opção Wipe Drive...


Selecione o disco que se deseja sanitizar, em Local Drives e então o Disco;


Informe qual o padrão a ser utilizado para gravação no disco (em hexa), e selecione (ou não) se o processo deverá ser verificado;


Como é um processo "pouco" crítito (SARCASM =) ), o sistema pede que você digite "YES" na tela de confirmação, não basta apenas um clique em OK.

Após terminado o processo, observe que o HEX do disco está completamente zerado (pattern definido na tela do WIPE). Inclusive a área (GPS PS/SO do EnCase) onde se esperava a MBR do disco, está zerada.

Como resultado, o disco deve ser inicializado no sistema operacional:

Note que, após operação de WIPE, o Windows reconhece o disco como NOT INITIALIZED...

Bom pessoal, é isso.... Wipe garante que o arquivo deletado não pode mais ser recuperado, por isso deve ser utilizado com muita cautela. Até o próximo post!

Fonte:
http://www.qsgi.com/usdod_standard_dod_522022m.htm
Guidance Software EnCase User Guide

Agora sou certificado AccessData!!!

Amigos! Venho neste espaço compartilhar uma boa notícia: desde 07/junho sou certificado AccessData (ACE):


Acertei 36 das 38 questões do teste. Tal como o exame do EnCe, este teste é dividido em uma parte teórica e uma prática. Quando você se inscreve para fazer o exame, recebe um link para baixar um arquivo de evidência (E01) com uma instalação de SO Windows e alguns dados de usuários. As perguntas são simples, mas ao mesmo tempo suficientes para saber se o examinando sabe ou não trabalhar com a ferramenta (qual o hash do primeiro arquivo onde aparece a palavra chave XPTO, ou então qual o caminho para encontrar arquivos encriptados, por exemplo). Esta certificação atesta que o profissional está apto a trabalhar com as ferramentas da AccessData em uma investigação séria. O exame pode ser feito com qualquer versão do FTK (1.x, 2.x ou 3.x).




É isso aí, e agora, que venha o EnCE no final do próximo mês!! Guidance Software, aqui vou eu!

Aprenda aqui como ser um super hacker!

Após leitura deste post, você conseguirá obter acesso a qualquer sistema Linux, Windows ou MacOS! Acessar estes sistemas é muito fácil e EU irei publicar aqui um passo a passo para que você possa acessar todos, fazer o que quiser e sair sem ser notado! Tudo isso em apenas 15 minutos!!

Ok, calma: antes de ser banido ou receber uma imensidão de protestos, me explico: isso é só uma forma de Ligatt*... Se você acreditou neste papo furado todo do primeiro parágrafo, volte para a faculdade de TI e preste mais atenção às aulas... Este é o melhor caminho para ser bom neste ramo!

O que me motivou a escrever este post aqui no blog foram dois textos muito bem escritos pelo colega Altieres Rohr para o portal de Tecnologia do G1:

“O Hacker Nº 1 do Mundo”. Assim Gregory Evans descreve a si próprio. Foi preso por fraude eletrônica e voltou como fundador da Ligatt Security. Mas foi a publicação de seu livro – “Como se Tornar o Hacker Número Um do Mundo” – que fez com que a comunidade de segurança inteira se voltasse contra Evans, acusando-o de plágio.




Em qualquer área existem "picaretas" e "caloteiros", mas Gregory Evans chama a atenção pela cara-de-pau: mentiu ser CISSP e CEH, disse ser amigo de Kevin Mitnick (Mitnick negou...), erros técnicos grosseiros na configuração de seu site foram expostos... Chama atenção também a publicidade veiculada por sua empresa, a Ligatt Security: um ser mítico, "capaz de invadir qualquer sistema com suas habilidades que desafiam o entendimento de usuários e especialistas.":

"O especialista em segurança Bruce Schneier fez um pequeno comentário sobre a peça publicitária, em vídeo, da empresa: “eles certamente gostam de apavorar as pessoas”. No vídeo, um homem negro, que diz estar numa pior, promete que vai “invadir uma casa” usando seu laptop. Pela rede sem fio, vai roubar os dados do cartão de crédito e todas as informações pessoais da mulher branca que dorme tranquilamente para “ter uma conta bancária gorda nas Bahamas”."

Maiores informações sobre este caso e o texto original disponível em:



Há, o * em Ligatt está explicado nos links acima....

Wednesday, June 9, 2010

Cross Contamination

Já a algum tempo queria escrever um artigo sobre cross contamination, um tema muito interessante e que merece muita atenção durante todo o trabalho de investigação.


Assim como nos crimes do mundo real, as evidencias de crimes realizado do mundo virtual devem ser preservadas. Posso dizer que as evidências dos crimes virtuais são muito mais frágeis, e uma série de cuidados devem ser levados em consideração.

Princípio da Troca de Locard - A troca de Locard define que em um determinado momento em que dois objetos entram em contato haverá transferência de material entre os dois, ou seja, sempre existirá troca quando dois objetos entram em contato. No contexto da análise forense, o princípio indica que a contaminação de provas pode ocorrer, não somente pelo criminoso, mas também pelo perito no momento da investigação.

Um dos primeiros passos ao se iniciar uma investigação é definir qual a demanda do incidente, sendo um caso de litígio ou não. Caso a investigação possua um objetivo jurídico, a preservação das evidências necessita de cuidados diferenciados. Uma evidência deve possuir diversas características para que possa ser aceita no tribunal, diferente de evidências para uso interno da organização.
  •  Non-liturgical Forensic: quando o problema é “resolvido em casa” 
  • Liturgical Forensic: litígio, com desdobramentos legais. 
Em determinados casos, é possível realizar investigações apenas para conhecimento do ocorrido, tornando o processo menos detalhado e mais rápido, porém, isso prejudica a integridade das evidências.

A cena do crime, assim como em crimes não computacionais, é o ponto crítico de um processo de investigação. Porém, um crime tecnológico nem sempre possui uma cena do crime bem definida, pois existem diversas formas de burlar a localização de um ataque e até mesmo realizar um ataque utilizando acesso remoto de uma terceira parte. A cena do crime é o ponto inicial da investigação, seja esta cena um escritório, uma estação de trabalho ou uma sala de servidores.

A segurança da cena do crime é de responsabilidade do grupo de resposta a incidentes, porém, pode ser realizado por autoridades legais. Em alguns casos não é conveniente envolver terceiros ou agentes legais. O envolvimento de agentes legais é considerado one way, ou seja, após iniciada a investigação deve ir até o fim. Em determinados momentos a investigação pode causar transtornos desnecessários. Porém, existem casos em que a notificação para as autoridades é obrigatória, quando envolvem: segurança em pessoas, segurança nacional e pornografia infantil. (Esta era uma grande dúvida minha: imagine-se no meio de uma investigação na empresa XPTO Corp. No meio do processo você - examinador - encontra imagens de pedofilia. O que fazer? Acione as autoridades! Simples assim. Obrigado pela brilhante explicação, amigo @suffert!)

Documentação - A documentação pode ser criada de diferentes maneiras como, narração dos eventos (gravação), fotografias do ambiente, dos ativos envolvidos e das telas dos computadores. É importante documentar o layout do ambiente. Este trabalho de documentação é fundamental, principalmente porque possibilita que a integridade das evidências seja mantida e que estas possam ser utilizadas de forma litigiosa na conclusão do caso. Desde a criação da evidência (ex: trilhas de auditoria) até a utilização desta no tribunal, muitos cuidados devem ser tomados. As evidências devem ser protegidas de forma que sejam confiáveis aos olhos do júri. Para esta proteção pode-se utilizar, por exemplo, hash’s matemáticos ou criptografia. Um aspecto muitas vezes esquecido é a proteção das evidências durante o seu transporte, mesmo que seja entre dois ambientes.

Outro cuidado que deve ser tomado é em relação ao tempo de retenção das evidências, principalmente registros e logs, que devem possuir um tempo mínimo de armazenamento, antes de serem descartados.

A coleta de evidências deve manter a privacidade das informações como requisito principal. Na maioria dos casos, informações sigilosas são parte do processo e sua privacidade deve ser mantida. Enquadram-se também nestes casos as informações de terceiros.

Cadeia de custódia - Esta é uma nomenclatura mundialmente utilizada, não somente para forense computacional, mas para todas as categorias de análise forense. Este termo tem como objetivo definir um caminho pelo qual a evidência coletada passou, documentando informações sobre horário da coleta da evidência, dono, quem coletou, como a evidência foi armazenada e protegida, quem tem a posse atual, etc.

As informações de MAC Time (Modified, Accessed and Changed) são utilizadas amplamente nos diversos sistemas operacionais existentes no mercado. Mas o que é MAC Time? É um padrão de identificação sobre a realização de procedimentos sobre as informações em um sistema de arquivos, onde:
  • M: última leitura ou gravação 
  • A: último acesso ao arquivo 
  • C: última mudança de inode 
Uma mudança em um inode pode ser desde a alteração de um atributo de um arquivo, até uma mudança no permissionamento de um determinado diretório. Caso um arquivo seja movido para um volume diferente em um mesmo hard disk o inode é recriado, como se o arquivo tivesse sido criado no momento em que ele foi transferido para o novo volume. O MAC Time permite ao investigador criar uma linha cronológica de acesso ao sistema de arquivos e informações críticas ao processo. A manipulação inadequada das evidências e dos ativos de tecnologia pode comprometer estes atributos de tempo.

Maiores informações:
http://www.fact-index.com/c/ch/chain_of_custody.html
http://www.enotes.com/forensic-science/cross-contamination