Wednesday, August 18, 2010

Realizando acquire de pendrive "on-demand"

Uma função muito interessante do EnCase Enterprise, porém muito pouco conhecida, é a capacidade de “monitorar” uma estação e capturar o pendrive quando o usuário conectá-lo na estação. Esta função é possível graças ao EnScript Sweep Enterprise, presente no EnCase Enterprise.


Este Sweep Enterprise é o mesmo EnScript que utilizamos para realizar o Case Initializers. A primeira tela do Sweep Enterprise é mostrada abaixo. Ela traz as informações do Caso que estamos trabalhando, o Safe em que estamos conectado e a Role que está em uso.


Clique em Next nesta tela, não precisa alterar valor algum. Vamos, para esta captura, utilizar o módulo Acquire Device, dentro do folder Acquire Device.


Selecione o módulo Acquire Device, informe qual a máquina em que será executada a coleta no campo Machines, e dê um duplo clique em Acquire Devices.


A tela Acquire Devices trás algumas opções para a captura de dispositivos remotos. Veja que é possível capturar o drive de sistema, CDROMs e Mídias Removíveis, que é o que nos interessa. Selecione a opção Get Removable Media, informe as letras que podem ser utilizadas pelo pendrive (no exemplo, digitei as mais usuais), clique em OK e na tela Nodes to Sweep, clique em Next. 

PS: Não se esqueça que a máquina alvo deverá estar liberada por alguma Role para que você possa acessá-la. No exemplo, eu utilizei o IP de loopback 127.0.0.1.


A próxima tela é o Sweep Options: Esta tela trás um resumo das opções já definidas. Clique no botão Sweep Options para definir o intervalo para a captura do pendrive na máquina remota (schedule).


Para esta captura, o schedule é uma das opções mais importantes. Se não for configurado, o EnScript irá executar uma única vez, se não houver um pendrive conectado na máquina uma mensagem de erro será informada e o EnScript será encerrado. Minha sugestão é definir o schedule conforme exibido na imagem acima. Desta forma, o EnScript será executado a cada minuto, das 10:00 as 12:00. Se, durante este intervalo de tempo, o pendrive for plugado na máquina, a captura será iniciada.

O grande poder do EnCase são os EnScripts. Conhecer as funções e recursos escondidos nestas poderosas opções é muito importante para um profissional de investigação forense! Muito tempo pode ser poupado durante a investigação utilizando os EnScripts.

Qualquer dúvida, utilizem os comentários. Agradeço ao meu amigo Simão que me ajudou com este artigo!

Thursday, August 12, 2010

Wiki Forense - Novo projeto (embrionário)

Olá amigos! É com imensa satisfação que anuncio o embrião de um novo projeto: uma Wiki Forense! Creio que os mais atentos já repararam na inclusão de uma nova opção no menu do meu blog: a opção Wiki.

O objetivo deste projeto é reunir e divulgar, de forma colaborativa, as mais variadas informações relacionadas a computação forense, tais como produtos, resolução de problemas...

Para isso, eu preciso da ajuda de todos os amigos interessados! Todos podem contribuir, seja criando um artigo, expandindo um artigo já existente, escrevendo um pouco... Mãos à obra!

O endereço é http://forensics.wiki.br



Conto com a ajuda de todos!!

Wednesday, August 11, 2010

Live View - Passo a Passo

Olá pessoal! Recebi alguns e-mails solicitando maiores informações sobre o Live View, fiquei muito satisfeito pelo feedback! Para expressar minha gratidão, aqui vai um tutorial step-by-step para uso do Live View:

Step 1 - Set VM Parameters






First select your Set VM Parameters:
  • RAM Size:The amount of RAM on your computer allocated to the virtual machine. Ideally this value should match the amount of RAM that was installed on the machine from which you created your image, but clearly must be smaller than the amount of RAM on your machine running Live View.
  • Operating System:This is the operating system contained on the disk image or physical disk you are trying to boot. Note that the Auto Detection feature only works for full disk images (not partitions). Live View is fairly forgiving about incorrectly identifying the OS so you may be able to get away with choosing any OS that is similar to the actual OS contained on the disk image.
  • System Time:The is the date/time used by the system during boot time. Ideally, this should be set to the date/time at which the image was created to minimize the impact of potential time-trial or time-bomb software on the system.

Step 2 - Select Image or Device





If you would like to boot from a disk image file, click the Browse button to select the image of the machine from which you would like to boot:
  • Make sure this is a bit-for-bit "raw" disk or partition image. If it is not, you may use a third party image mounting tool such as Mount Image Pro or Physical Disk Emulator to mount the image and boot it as a physical disk (see below).
  • The image may be located on your local machine, an encrypted network share, or anywhere you can navigate to in a standard Windows "browse" dialog box.
  • You may use "split" or "chunked" images by multi-selecting all of the chunks with CTRL+Click or SHIFT+Click in the browse dialog box. Some imaging programs split the image into chunks so they can easily fit on a CD, DVD, or FAT filesystem. Just make sure you select all of the associated chunks and that their file extensions are either numeric or alphabetical as Live View will order them by sorting their file extensions.
If, however, you would like to boot from a physical disk select the physical disk option




Select the device from which you would like to boot from the drop-down menu:
  • The physical disk can be connected directly to the machine running Live View or connected via a USB or FireWire bridge. This bridge can also be a writeblocker (for an added layer of protection) as Live View only needs read access to the device. You may also use third party image mounting software to access an image as a physical disk.
  • If you do not see your device in the drop-down menu, make sure it is connected to your machine. You may want to check that it has been recognized by Windows and shows up as a "drive letter" on your system. You may need to select the image file option and reselect the physical device option to re-populate the drop-down menu with the most current list of connected devices.

Step 3 - Select Output Directory





Next, select the output directory by clicking the browse button:
  • The output directory is where all of the files representing the virtual machine will be placed. This includes the configuration files and the "overlay" file containing all of the changes that would have been made to the original disk or image.
  • This directory could be on your local machine, network share, or anywhere you can navigate to from a standard Windows "browse" dialog box.
  • The virtual machine grows in size as it is used (because all of the writes made to disk are saved in the "overlay" file in this directory). Initially you will require at least a few hundred megabytes of free space for the virtual machine but you may want to choose a directory with a few gigabytes of free space if you plan to make heavy use of the virtual machine.

Step 4 - Launch or Generate VM





Next choose what you would like to do with your image
  • Launch My Image:By selecting this option, Live View will create the VMware virtual machine out of your disk image and launch it in VMware.
  • Generate Config Only:By selecting this option, Live View will create the VMware virtual machine out of your disk image but will not automatically launch it in VMware. With this option you can simply navigate to your output directory selected in the previous step and double click the .vmx file With the same prefix as your image file to launch the virtual machine manually.

Step 5 - Click Start






Finally, click the start button and let Live View take care of the rest
  • Launching an image typically takes under thirty seconds. The messages window will provide you with updates on its progress.
  • The messages window will report any problems encountered during the process that may have prevented Live View from successfully creating your virtual machine.
  • Clicking the clear button will clear the messages window.

Message Prompts




You may get a "read only" message prompt
  • If you attempt to create a virtual machine out of a raw disk image, Live View will automatically check if that file has the read-only flag set. If it does not, you will be asked whether or not you would like to set the file as read-only. Click yes to set the read-only flag on your image file(s) or click no to leave them alone.
  • Note that setting the read-only flag on your file(s) is just an extra layer of protection against the accidental modification of your image file(s). Live View will not modify your images if you choose not to set the read-only flag. Also note that setting the read-only flag on your image file(s) will not modify their cryptographic hash.




You may also receive a "previous launch" message prompt
  • If this is not the first time you have launched your disk image, you will receive a prompt asking you if you would like to either continue With the old virtual machine or start over by generating a new one.
  • If you choose "continue", Live View will simply reuse the old virtual machine it generated. This virtual machine will contain all of the changes you have made (changed MAC times, installed software, etc) that were contained in the "overlay" file.
  • If you choose "start over", Live View will delete the old virtual machine and generate a completely new one. This means that all of the changes you made to the machine will be wiped away and you will be booting the image or physical disk from its original pristine state (with a fresh, blank "overlay" file).

Interacting With the Virtual Machine





Now you can interact With the machine as you would any other. You can install software, insert CD's or USB keys, read/modify/create files, etc.
  • To use the machine, you must click inside the VMware window to give it "focus." You mouse movements will be inside the virtual machine until you release it by using the keyboard combination CTRL+ALT.
  • To make the machine full screen, use the keyboard combination: CTRL+ALT+ENTER. To go back to the smaller view, use the keyboard combination CTRL+ALT.
  • To stop the virtual machine you may click the red square which is equivalent to pulling the power plug on a system.
  • When you are done working With the machine, you can simply shut it down or hit the red square on the VMware GUI. To boot the machine back up again with all of the changes you have made, you can either navigate to your output directory and double click the .vmx file for your image or you can use the Live View GUI and select "continue" when prompted to start over or continue where you left off.
  • If you want to remove all of your changes and start from scratch again, simply hit the red square to shut off the virtual machine and then close the VMware window. Go back to the Live View GUI and re-launch your image or disk. When prompted to "continue or start over", be sure to select "start over." This will boot the machine from its original unmodified state.
  • The machine may go through a variety of hardware detection steps. This is because the system is recognizing all of the new hardware (VMware virtual hardware) present on the machine.
  • For better performance (and higher resolution) you can install the VMware tools. To do this, click VM->Install VMware Tools on the VMware menu. This will require a reboot of the Virtual Machine but will provide much smoother performance once installed.

Artigo: Os "falsos" Backups

Muitas empresas tem a falsa impressão de que possuem backup das suas informações e que ao apertar um botão mágico, as informações serão recuperadas sem o menor problema. Com isso, há uma impressão de segurança muito maior do que de fato deveria. Costumo me deparar com ambientes onde o backup muitas vezes nem é realizado, ficando a cargo da sorte e do destino a disponibilidade das informações
Os backups ou cópias de segurança, devem existir para garantir que em caso de perda das informações no seu local de armazenamento original, seja possível a sua restauração com uma perda mínima ou nula. Porém, também é necessário, em caso de alteração indevida, de um documento, como por exemplo uma nova versão de uma planilha eletrônica ou documento de texto que sobregravou o anterior. A ação tão comum de apagar dados ou informações “sem querer” também deve estar coberta pelo backup.
Dessa forma, é essencial a elaboração e manutenção de um plano de backup que possa ser recuperável. Isso porquê muitos backups são feitos, e na hora que é preciso realizar a sua recuperação, é impossível.
Se desconhece muitas vezes os procedimentos para recuperá-lo como também o tempo necessário.
Um plano de backup deve cobrir todas as informações essenciais da empresa tais quais, bancos de dados, arquivos, mensagens eletrônicas, dentre outras.
Toda a sua rotina deve ser documentada e ter a restauração também testada e validada. Deve-se semanalmente similar a restauração para, de fato validar, se as cópias estão sendo realizadas corretamente, pois nestes momentos é possível que sejam feitos ajustes. O ciclo PDCA – Planejamento, Execução, Correção e Ação, é um método essencial nesse processo de elaboração e manutenção do plano de backup e restauração.
Portanto, é preciso ter cuidado com os “falsos backups” existentes dentro das empresas, que de fato, na “hora h”, podem falhar e não é preciso falar das consequências, pois cada um sabe da importância para o seu ambiente. Com isso, vale a pena que os profissionais de TI e empresários, atentem para este fato e tomem as providencias de maneira pró-ativa antes que o pior aconteça.

Rodrigo Jorge

Publicado na edição de Agosto/2010 da Informática em Revista
Copiei daqui

#SET Antoine-Laurent-Lavoisier mode OFF

Wednesday, August 4, 2010

PGE-RJ ingressa ação judicial contra Google

A Procuradoria Geral do Estado do Rio de Janeiro disparou uma contra-ofensiva para restringir o acesso ao Orkut, da Google. O governo entrou com uma ação civil pública contra a Google, na qual acusa o site de ter-se tornado "palco de condutas ilícitas e criminosas". Entre os crimes que seriam cometidos dentro da rede social estão apologia ao crime, pedofilia e falsa identidade, entre outros.



Para o governo, não há como eximir a empresa de corresponsabilidade pelos crimes cometidos dentro da rede social, já que eles só ocorreriam por causa de falhas na gestão do site. "A empresa não possui qualquer mecanismo eficiente de controle de conteúdo (...), nem qualquer sistema apto a verificar a identidade daqueles que acessam seus serviços", argumenta o governo.

O governo acredita que o Google precisa ser obrigado a tomar providências que combatam ou impeçam a utilização do ambiente do Orkut para os crimes citados. Na ação, o órgão determina que a empresa adéqüe seus serviços em no máximo 30 dias, com medidas de guarda de logs e de rastreamento, entre outros. Caso contrario os usuários do Brasil pode dá adeus ao seu perfil no Orkut.

Para quem quiser acompanhar, é o processo No 0228160-97.2010.8.19.0001, que tramita na 10a. Vara da Fazenda Pública do Rio de Janeiro

Fonte: http://www.conjur.com.br/2010-jul-21/pge-rj-ingressa-acao-google-evitar-crimes-delitos

Como o Live View salvou meu dia

Algumas vezes, quando se está na frente do cliente resolvendo um problema, o conhecimento técnico não é suficiente para solucionar a questão... A criatividade necessária para se ir além do problema é o que diferencia os profissionais medíocres dos bons profissionais (antes de criar polêmica neste blog, vamos definir criatividade como capacidade de ousar e inovar diante de desafios e dificuldades, e não ).


Hoje foi um destes dias onde se é preciso utilizar mais a criatividade e menos o conhecimento técnico. Resumindo a história toda: eu tinha uma imagem do tipo RAW (DD) que nem o EnCase nem o FTK conseguiam acessar algumas áreas. O HASH da imagem DD confere com o HASH do HD original, ou seja, imagem íntegra. Precisava acessar a máquina original mas não havia como. Solução: vamos bootar uma VM utilizando a imagem gerada. Como? Utilizando o Live View. O Live View é um utilitário em Java utilizado para criar arquivos VMDK (discos virtuais de VMWare) a partir de imagens RAW (DD). Convertendo a imagem capturada em campo em uma máquina virtual bootável garante ao investigador uma perspectiva de usuário do ambiente. O processo gera uma máquina virtual e cria um snapshot da VM a fim de preservar a evidência original. A vantagem deste processo é que não é necessário criar cópias da imagem RAW DD original.

Para funcionar, o Live View precisa do Java, VMWare Workstation versão 5.5 ou VMWare Server 1.x (esta última versão é free) e o VMware Disk Mount Utility. Durante o processo de instalação, o LiveView se encarrega de baixar ou apontar o que é pré-requisito e está ausente no sistema.


Os parâmetros do Live View são simples e intuitivos. Dividido em "partes", a primeira parte define a configuração da VM a ser criada, em seguida pergunta qual a origem dos dados (pode-se utilizar uma imagem RAW DD ou um disco físico (não se esqueça do Write Blocker se for utilizar esta opção, para não adulterar a evidência) e o destino da máquina virtual.

Um "Quick Guide" está disponível em http://liveview.sourceforge.net/guide.html. Uma vez gerada a máquina virtual, pode-se fazer o boot na máquina e então acessar a máquina exatamente como o usuário faria.

Abraços amigos!