Wednesday, December 14, 2011

[Carreira] Concursos Públicos em Computação Forense

Excelente artigo do Ronaldo Lima sobre oportunidades de carreira em concursos públicos!

"Para quem tem interesse em seguir carreira no setor público e trabalhar diretamente no combate aos crimes cibernéticos essa é a hora! O cargo é o de Perito Criminal em Computação e há duas oportunidades imperdíveis que só costumam aparecer a cada quatro anos, ou mais."



Leia o artigo completo em http://www.crimesciberneticos.com/2011/12/perito-criminal-em-computacao-os.html

[OAB-SP Convida] - O princípio da segurança da informação por obscuridade


Friday, November 25, 2011

[quick tips] Passwords

Passwords are the first line of defense against cyber criminals. It’s important to pick strong passwords that are different for each of your important accounts and to change them regularly. Here are some ideas to help create strong passwords.

  • Use a unique password for all your important accounts.
  • Use a long password
  • Use a password with a mix of letters, numbers, and symbols
  • Try using a line from a song, film or play
  • Make sure your password recovery options are up-to-date and secure
  • Keep your password reminders in a secret place that isn’t easily visible


==Extra==

The 25 “worst” internet passwords were”
  • Password    //ok, you are using capital letters
  • 123456
  • 12345678
  • qwerty      // wtf?!
  • abc123
  • monkey
  • 1234567
  • letmein
  • trustno1     // fail #1
  • dragon
  • baseball
  • 111111      // all binary
  • iloveyou
  • master
  • sunshine
  • Ashley
  • Bailey
  • passw0rd    //very complex....
  • shadow
  • 123123
  • 654321
  • superman     //nerd
  • qazwsx
  • Michael
  • Football

Wednesday, November 23, 2011

Anonymous Leaks 38,000 emails from U.S. special agent

The hacker group Anonymous released 38,000 private e-mails belonging to a retired special agent supervisor and cybercrime investigator at the California Department of Justice (DoJ), Fred Baclagan.

According to a Pastebin post, the group got their hands on and are leaking "over 38,000 private emails which contain detailed computer forensics techniques, investigation protocols as well as highly embarrassing personal information." Also, among the revealed information is the agent's home address and phone numbers.

They claim to have hacked into and hijacked two of his Gmail accounts, accessed several dozen
voicemails and SMS text message logs, his Google web history, listened to private voicemails and used his Google voice account to notify his friends and family of "how hard he was owned."

Friday, November 11, 2011

[off topic] 11/11/11 - 11:11


Sobrevivemos!! Não vi nenhum portal se abrindo (admito que fiquei frustrado...) e nenhum sinal do apocalipse... Turminha das ciências ocultas #fail...


Que venha o 12/12/12 12:12, e depois, o temido 21/12/12 dos Maias... Mas de qualquer forma, talvez valha a pena comprar presentes pro natal de 2012 com muita antecedência: dezembro parece que será um mês agitado...

E se o mundo não acabar, os numerólogos / supersticiosos / oportunistas de plantão que procurem outras datas para #mimimi, por que 13/13/13 13:13 não vai rolar =)

PS: coisinha mais irritante esse povo que tuita as horas: 09:09.... 10:10... 11:11... Até parece que quando alguém quer saber das horas, vai no twitter...

PS2: post programado... talvez o mundo tenha acabado e eu ainda não saiba... LOL

Mais info sobre o 11/11/11 11:11 aqui, aqui e aqui.

Thursday, November 10, 2011

[artigo] Porque o Brasil não investiga seus cybercrimes da maneira adequada?

Excelente artigo do Delegado Mariano sobre o porque o Brasil não consegue investigar os cybercrimes de forma eficiente:

O grande número de ataques de “malware” levados a cabo diariamente, e os truques que podem ser usados para esconder seus rastros na Internet, podem fazer parecer como se os órgãos policiais tivessem poucas chances de levar os responsáveis à justiça.Muito diferentemente do que podemos observar no Brasil, a verdade é que, embora as investigações possam levar muitos anos e cruzar muitos países, alguns cybercriminosos estão sendo levados à justiça. 
(...)

Leia o artigo completo no blog do Delegado Mariano. Em outro artigo muito interessante, o Delegado Mariano disserta sobre como Como o Brasil poderia melhorar a sua segurança digital contra as ciberameaças. Recomendo a leitura de ambos!


O Delegado José Mariano de Araujo Filho é Bacharel em Direito e Técnico em Eletrônica formado pela Fundação Paulo Souza, tendo cursado o C.E.I. “Albert Einstein”. Destacou-se quando trabalhou na Delegacia Seccional de São Bernardo do Campo, onde esteve a frente da Delegacia de Investigações Sobre Crimes Contra o Meio Ambiente, o que lhe valeu homenagem formal da Câmara dos Vereadores da cidade de São Bernardo do Campo, pela excelência de seu trabalho.




Tuesday, November 8, 2011

Charlie Miller descobre bug de segurança no iOS

Várias vezes campeão do concurso Pwn2Own, Charlie Miller anunciou que a App Store, conhecida por sua segurança, tem um falha grave que permite inserir programas nocivos em dispositivos iPhone ou iPad.


Em entrevista à Forbes, ele afirmou que programas como o popular Angry Birds, por exemplo, podem rodar códigos no iPhone sem que a Apple saiba disso. E não estamos falando de jailbreak, mas de aplicativos baixados na loja oficial da Apple. “Com esse bug, não há como saber se o que você baixou na App Store é seguro”, afirmou.

Para provar isso, ele submeteu um programa (o Instastock) , com “códigos ocultos” à Apple, conseguiu que ele fosse aprovado e mostrou o aplicativo em ação (no vídeo abaixo). Com o software instalado, ele consegue enviar comandos remotamente para o aparelho ou mesmo visualizar arquivos. Ou seja, ele controla o smartphone.

Depois que a Forbes publicou a descoberta de Miller, a Apple removeu o software e baniu o hacker da sua lista de desenvolvedores de aplicativos iOS. Miller é uma pessoa séria: embora tenha violado os termos do iOS Developer Program e tenha mostrado ao mundo uma pisada de bola da Apple, ele não se aproveitou da brecha para fazer mal algum.

Eis a carta que Miller recebeu da Apple:

Dear Charles Miller:
This letter serves as notice of termination of the iOS Developer Program License Agreement (the “iDP Agreement”) and the Registered Apple Developer Agreement (the “Registered Developer Agreement”) between you and Apple, effective immediately.
Pursuant to Section 3.2(f) of the iDP Agreement, you agreed that you would not “commit any act intended to interfere with the Apple Software or related services, the intent of this Agreement, or Apple’s business practices including, but not limited to, taking actions that may hinder the performance or intended use of the App Store or the Program”. Further, pursuant to Section 6.1 of the iDP Agreement, you further agree that “you will not attempt to hide, misrepresent or obscure any features, content, services or functionality in Your submitted Applications from Apple’s review or otherwise hinder Apple from being able to fully review such Applications.” Apple has good reason to believe that you violated this Section by intentionally submitting an App that behaves in a manner different from its intended use.
Apple may terminate your status as a Registered Apple Developer at any time in its sole discretion and may terminate you upon notice under the iDP Agreement for dishonest and misleading acts relating to that agreement. We would like to remind you of your obligations with regard to all software and other confidential information that you obtained from Apple as a Registered Apple Developer and under the iDP Agreement. You must promptly cease all use of and destroy such materials and comply with all the other termination obligations set forth in Section 12.3 of the iDP Agreement and Section 8 of the Registered Developer Agreement.
This letter is not intended to be a complete statement of the facts regarding this matter, and nothing in this letter should be construed as a waiver of any rights or remedies Apple may have, all of which are hereby reserved. Finally, please note that we will deny your reapplication to the iOS Developer Program for at least a year considering the nature of your acts. 
Sincerely, Apple Inc.





O vídeo acima é apenas uma prova de conceito, nenhum usuário foi prejudicado por isso.


Reportagem da Forbes.

Tuesday, November 1, 2011

[ArcSight] Enterprise Security Management (ESM)

Enterprise Security Management (ESM) is the main product from ArcSight, a great solution that combines security event monitoring with network intelligence, context correlation, anomaly detection, historical analysis tools, and automated remediation.

When we hear something about forensics, we imagine an investigation for a fact that has already happened, which is in the past. With this kind of solution, you can be one step ahead from fraudsters, hackers, insiders and others threats. Did your company have a firewall? Did your company have an IDS/IPS? Of course YES. Did your company have an analyst to read the logs 24 hour/day? Maybe NOT.

So, imagine that ESM is this guy that was hired to read all logs, in real time, and he can say to you, with an incredible precision, if something is wrong. Man, I really can't belive in this solution, until I see this working! And now I'm in love =)



I have found a nice video about ArcSight ESM: its an case study of how ESM helps McAfee to be PCI compliance, and other nice stuffs:





Also, SC Magazine published an nice review about ArcSight ESM, available here. Very recommended!

More info about ESM: http://www.arcsight.com/products/products-esm/

Monday, October 31, 2011

[news] Como espionar uma empresa: uma volta pelo mundo da engenharia social

Muito interessante esta reportagem que lí no site da IDG Now. Tomei a liberdade de reproduzir aqui.



Especialista em segurança conta como é fácil obter informações e senhas de um escritório ao simplesmente se passar por alguém com autoridade.


Por Jim Stickley*, CSO / EUA



Se uma empresa te contrata para um serviço de engenharia social, normalmente ela quer que você entre e acesse suas fitas de backup, ou os dados na sua sala de documentos.
Vamos dizer que estou fingindo ser um inspetor de segurança de incêndio. A primeira coisa que terei ao lado do meu distintivo e do meu uniforme é um walkie-talkie, como todos os bombeiros. Do lado de fora, teremos “o cara do carro”. É a pessoa que senta no automóvel, e basicamente seu trabalho no começo é enviar conversa mole para os nossos rádios. Teríamos uma gravação de todo esse papo que você ouve nos walkie-talkies. Ele senta no carro, toca o conteúdo e envia pros nossos rádios.
Nós entramos no local e nos certificamos de que a conversa está bem barulhenta nos walkie-talkies para que sejamos imediatamente o centro das atenções. Quando entro, quero que todos saibam. Meu rádio comunicador está alto e todos olham enquanto peço desculpas e abaixo o volume.
Mostro meu distintivo para a pessoa na mesa da frente. Eles perguntarão “Oi, como você está?”, ao que responderei “Bem, estou aqui para uma inspeção de incêndio”. Eles dizem “Ótimo” e chamam alguém para nos acompanhar. Geralmente é uma pessoa simpática. Começo a falar com eles, flertar com elas, o que for preciso fazer. Começamos então a andar pelo escritório.
Enquanto falo com a pessoa que nos acompanha, meu parceiro sabe que o trabalho dele é “fugir” de nós. Por isso, meu colega começará a se desviar imediatamente. Na maioria dos casos nossa acompanhante dirá “Você pode voltar aqui? Preciso manter vocês juntos.” Nós então dizemos “É claro, desculpe.” Mas na verdade isso não quer dizer nada para a gente. Tudo o que significa é que vamos continuar fazendo até a pessoa desistir. Meu parceiro vai dar uma fugida mais umas duas ou três vezes e seremos repreendidos até que ela finalmente desista. Ela acha que ele é só um bombeiro e pensa “Vamos apenas deixá-los fazer o que precisam.” 
A espionagem
Neste ponto, a tarefa do meu colega é começar a roubar tudo o que puder e colocar na sua mala. Ele também precisa entrar debaixo das mesas de qualquer funcionário que conseguir e instalar pequenos loggers (pendrives com um software) de teclado. Eu fico com a nossa acompanhante e meu único dever agora é mantê-la entretida. Continuo andando pelas salas, dando conselhos sobre como manter o local seguro contra incêndios, mesmo que não tenha a mínima ideia do que esteja falando. Invento algumas coisas e provavelmente dou os piores conselhos da história. Pego alguns fios e digo “Isso parece um pouco perigoso”. Faço comentários sobre os aquecedores. Estou “viajando” completamente.
Há alguns anos comprei um aparelho na Home Depot (rede varejista dos EUA de materiais para casa). É como uma fita métrica, mas não uma comum. Ela tem um ponta com laser e faz um barulho de estalo. Esse aparelho é como o Tricorder da série “Jornada nas Estrelas”. Posso fazer praticamente qualquer coisa com ele. Coloco em frente a uma meia e digo “Isso aqui parece ter muita corrente (elétrica).” E as pessoas simplesmente acreditam. É incrível as coisas estúpidas que posso fazer. São as bugigangas que importam e as pessoas querem ver que você tem produtos.
Enquanto isso, meu parceiro está entrando debaixo das mesas. Se os funcionários estão lá, ele diz “Ei, você se importa seu entrar debaixo da sua mesa por um minuto? Estou apenas checando se há algum tipo de perigo de incêndio.” Se a pessoa perguntar “Que tipo de perigo pode ter embaixo da minha mesa?”, ele então dirá “Você sabe aquele ventilador na parte de trás do seu computador? Se ele parar de girar, pode se tornar um risco de incêndio.” Esse tipo de explicação parece razoável.
Meu colega vai para trás do computador e em sua bolsa ele tem vários dongles (dispositivos usados para autorizar o funcionamento de determinados programas). Ele facilmente instala um no computador do funcionário e agora todos os dados estão indo para esse aparelho. Obviamente que, enquanto meu parceiro está fazendo isso, a pessoa não consegue ver e normalmente apenas vai dar uma volta e tomar um café.
A essa altura, nós normalmente nos encontramos de novo e discutimos entre nós de modo barulhento todos os lugares em que já estivemos. Assim temos uma boa ideia do que já foi feito e ele pode ir para lugares em que não pude roubar nada por causa da minha acompanhante. Ele dirá “Já passei por todas as mesas.” Então falo “Você pode me fazer um favor e voltar e checar novamente esse local?” e menciono algum lugar em que possa ter visto algo interessante.
Saída estratégica
Em nossa saída, não queremos que saibam que já terminamos. O objetivo é poder voltar em outro momento. É aí que o nosso “cara do carro” faz uma ligação falsa para o walkie-talkie e diz que precisa que respondamos a um chamado. Olho para a minha acompanhante e digo “Ei, desculpe, nós voltaremos.”
Voltamos nos próximos dias, fazemos uma nova verificação rápida, entramos de novo e pegamos os dongles de volta dos computadores. Damos outra olhada rápida em tudo, dizendo que perdemos nosso formulário original de inspeção. E como já fizemos tudo, a segunda visita é rápida. Dizemos que terminamos e que enviaremos um relatório pelo correio.
Ao terminarmos, conseguimos roubar coisas e obter logins e senhas porque ficamos gravando essas informações com os aparelhos de key logging, seja em sites da web ou contas locais no sistema deles. Estivemos na rede wireless deles e também conseguimos invadi-la. 
Depois de fazer tudo que precisávamos, a última coisa que fazemos é um “mergulho” nas lixeiras. É algo miserável, mas é incrível o quanto isso é lucrativo. Aparecemos com luvas de borracha e começamos a abrir os sacos. Impressionante a quantidade de informações confidenciais que acabam no lixo.
Quando voltamos após o trabalho para apresentar o que encontramos, geralmente há um olhar de choque total no rosto dos funcionários. Mas é uma experiência de aprendizado que esperamos que os ensine algo. É algo que nunca pensaram que ia acontecer. Se você falasse com eles uma semana antes, nunca pensariam que cairiam em algumas das coisas que fizemos. Mas agora eles veem que pode acontecer, e com eles.
*dono da empresa TraceSecurity, o americano Jim Stickleyescreveu como autor convidado e é um especialista em segurança online e engenharia social

Thursday, October 20, 2011

[CNASI 2011] - Palestra: Introdução a Computação Forense com Ferramentas Avançadas

Compartilho aqui no blog minha palestra, apresentada ontem, 19/10/2011, na 20a. edição do CNASI, no Centro de Convenções Frei Caneca.




Agradeço a todos que estiveram presente no evento e prestigiaram a palestra. Confesso que fiquei surpreso quando ví o auditório lotado =)

[OAB/SP Convida] - Criminal Compliance e Gestão de Riscos em TI


Wednesday, October 19, 2011

Intel Next Generation Center - Cursos Gratuitos!

O Next Generation Center da Intel é uma iniciativa que tem como proposta a formação de profissionais com nível de gerência intermediária, em temas associados à tecnologia e negócios, por meio de cursos modulares e com certificação on-line. Muito útil, pode-se estudar em qualquer lugar e ainda imprimir o material do curso.



É possível encontrar no site da Intel cursos na área de Aplicativos de Gerenciamento, Tecnologia, Negócios Online, Educação e outros, todos gratuitos e com certificado de conclusão! O candidato precisa ler todos os módulos e responder as questões com uma semana para finalizar cada módulo.

No Next Generation Center, é possível realizar alguns cursos introdutórios de Segurança de Informação, com direito a certificado e tudo (se você acertar 90% das respostas), muito interessante para quem quer começar a estudar os conceitos de SI e não tem dinheiro/tempo disponível para freqüentar um curso:

Segurança da Informação
Armazenamento de informações estratégicas e confidenciais, senhas, dados pessoais, cadastros e tudo o que pode ser alvo de ataques precisa estar devidamente seguro para garantir a integridade de corporações e pessoas. Quais as Políticas de Segurança que um CSO (Chief Security Officer) desenvolve e adota para se prevenir contra o bombardeio desses e outros fatores? As respostas estão no seu curso de Segurança, com o qual você fica por dentro dos cuidados com as redes sem fio, camada de segurança e muito mais.

Segurança II
Armazenamento de informações estratégicas e confidencias, senhas, dados pessoais, cadastros e tudo o que pode ser alvo de hackers precisa estar devidamente seguro para garantir a integridade de corporações e pessoas. Mas ainda existe outro desafio: a segurança de TI para equipamentos móveis, como notebooks e smart phones, cada vez mais presentes na vida das corporações.

Certificação Digital
Uma das tecnologias em que a indústria financeira investe, nos últimos tempos, é a Certificação Digital. Neste módulo você vai aprender como ela é capaz de garantir autenticidade, confidencialidade e integridade às informações que circulam no ambiente web. Seu ponto central é o certificado digital, documento eletrônico que contém nome e um número público exclusivo, denominado chave pública, entre outros dados que atestam a autenticidade de documentos, mensagens e identidades, de pessoas, empresas e instituições. Saiba como a Certificação Digital ajuda as empresas, de diferentes setores, a evitar um prejuízo anual declarado que chega a US$ 1,5 bilhão, nos Estados Unidos (número calculado pelos órgãos de defesa norte-americanos).


Tuesday, October 18, 2011

[CNASI 2011] - Palestra: Introdução a Computação Forense com Ferramentas Avançadas

Começou hoje a 20a. edição do CNASI - Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança. Este ano, o CNASI tem como tema central: “O novo Futuro: A maturidade da Segurança da Informação”, que contemplará entre outros assuntos as Mídias Sociais, Indicadores de Gestão e a Propriedade Intelectual.



Amanhã, dia 19/10, a partir das 13:30, estarei palestrando no evento, falando um pouco sobre Computação Forense utilizando Ferramentas Avançadas. Será uma ótima oportunidade para falarmos um pouco sobre  computação forense e o cenário atual no Brasil, além de falarmos também sobre as melhores ferramentas de computação forense disponíveis hoje no mercado!

Maiores informações no site do evento.

Thursday, October 13, 2011

Dennis Ritchie - 1941-2011


Post atrasado para homenagear Dennis Ritchie, pai do C e do UNIX. Com certeza, sem ele, o mundo da computação não seria nada do que nós conhecemos hoje...

Definitivamente, outubro não foi um bom mês para os geeks  =(

Friday, October 7, 2011

[Dra. Gisele Truzzi] - Internet não é terra sem lei!

Assista a entrevista da Dra. Gisele Truzzi, advogada especialista em direito digital e direito criminal, ao canal web VEEENN, sobre direitos autorais na internet, crimes informáticos, decisões judiciais, casos e dicas.

Muito bom, recomendo!





Com informações do blog da Dra. Gisele Truzzi: truzzi.com.br
Acompanhe também o canal da Dra. Gisele Truzzi no YouTube!

Thursday, September 29, 2011

ArcSight & EnCase CyberSecurity

Aproveitando o tema ArcSight, recentemente a Guidance Software, desenvolvedora do aclamado EnCase, liberou um material muito interessante sobre a integração do ArcSight com o EnCase CyberSecurity, para Resposta a Incidentes Automatizadas.



Maiores informações, um vídeo explicativo e alguns PDFs estão disponíveis aqui.

Thursday, September 15, 2011

[SIEM] Correlacionamento de Eventos

Independente do tamanho, as empresas de hoje encaram ameaças sérias e crescentes, tais como ciber criminosos em busca de seus dados confidenciais ou na tentativa de inviabilizar o acesso a sistemas críticos. Os perfis destas ameaças estão sempre evoluindo e crescendo em grau de sofisticação, mas ainda assim há muita ameaça interna: se a empresa permite que seus funcionários tenham acesso a dados da corporação, então a empresa está exposta a furto de dados corporativos e  dados confidenciais de clientes. 

Outro ponto muito importante nos negócios atuais é o atendimento a regulamentações impostas por organizações internacionaios e países, dentre as quais, podemos destacar: SOX, PCI-DSS, FISMA, GLBA, HIPAA, Basel, etc.. Estar em conformidade (compliance) com estas regulamentações possibilita a concretização de novos negócios e dá mais confiança e credibilidade aos parceiros.

Mas como tentar evitar fraudes e ainda estar em conformidade com tantas regras? A ArcSight tem a as respostas, e uma delas é o Correlacionamento de Eventos, também conhecido pela sigla SIEM (Security Information and Event Management).



Eventos (ou logs) são registros, normalmente armazenados em arquivos de texto simples ou em banco de dados, que armazenam tudo o que se passa em sistemas informatizados. A correlação destes eventos possibilita a reconstrução de um cenário passado, mostrando o que efetivamente ocorreu com um sistema computacional em outro momento.

Por exemplo, cruzando as informações de eventos, é possível detectar que o funcionário JOÃO, do financeiro, não passou pela catraca da portaria, não passou pelo relógio de ponto, mas está acessando o ERP da empresa. Bem, muito provavelmente, como o funcionário não passou pela catraca e nem pelo relógio de ponto, alguém está utilizando a credencial do JOÃO para acessar o ERP.

Este é só um exemplo bobinho, mas que já demonstra muito bem os poderes do correlacionamento dos eventos. Já imaginou a quantidade de logs de eventos que os sistemas de uma grande corporação geram? estes logs, isolados, são capazas de nos dizer muito a respeito das ferramentas que os geraram. Combinados então, são capazes de nos informar exatamente quem, como e onde determinada situação ocorreu.





Wednesday, September 14, 2011

[Artigo] Eduquem as crianças e não será preciso punir homens

Excelente artigo do amigo Regilberto Girão:

A liberdade não está sendo atingida pelo fato de a população não ter sido preparada e nem, ao menos, vem sendo preparada para encarar tal grau de liberdade. A educação medíocre e os lapsos temporais que entremeiam a evolução tecnológica e a educação do indivíduo provocam, inexoravelmente, o abuso, muitas vezes involuntário.
Dizer que NUNCA fez alguma coisa que fuja a tais preceitos, tais quais os pregados pelo Senador, é que pode ser alvo do substantivo "besteira", visto que não há exceção na sociedade que imprima distinção sob este aspecto. 
O maior problema que esta lei instiga é o das possibilidades com que o cidadão de bem seja atingido, maculado, por ações ilícitas que sequer tem noção de que, presumidamente, seja o autor. O estigma provocado por um ENGANO DA JUSTIÇA pode custar caro.(...)

Leia o artigo na íntegra aqui.

[OAB/SP Convida] - Fraudes Eletrônicas em Tempo Real



Maiores informações em: 4n6.cc/C7Jc0

Sunday, September 11, 2011

[off-topic] tumblr.



Um dos itens da comédia lista 50 Geeky Things to Do Before You Kick the Bucket é montar um blog tumblr. A idéia do tumblr é diferente, ele é uma espécie de twitter evoluído, ou então um wordpress sub-desenvolvido...

WordPress > tumblr. > Twitter

Aproveitando um domingo de folga, crieu meu tumblr, e ele vai servir, pelo menos por enquanto, somente de agregador de notícias de InfoSec e Forensics. Vamos ver se isso aqui presta =)

A URL de acesso é http://digi4n6.tumblr.com/

Há, recomendo a leitura da lista desses malucos da PC World EUA. Muito comédia!!

Wednesday, September 7, 2011

[NetWitness] Investigator

O Investigator é um componente da solução de network forensics da NetWitness capaz de visualizar os pacotes que foram capturados. Uma das características que mais me agradam é a possibilidade de carregar arquivos padrão PCAP (padrão de mercado para captura de pacotes de rede) para então remontar as sessões de tráfego de rede com grande facilidade!


Outra diferença que destaca o Investigator das outras ferramentas de análise de tráfego de rede, é sua interface limpa, intuitiva e amigável. Não é necessário ser um expert em protocolos TCP/IP e camada OSI para entender o que está acontecendo, a ferramenta é muito simples!

Para quem está interessado em utilizar a ferramenta, recomendo download da versão gratuita do NW Investigator e então assistir aos tutoriais que a NetWitness disponibiliza, que são muito bons!

Monday, September 5, 2011

Otimizando uma perícia forense utilizando HashSets

Imagine uma imagem forense de um HD apreendido hoje. Você consegue imaginar o espaço ocupado pelos aplicativos e pelo sistema operacional? Só o Windows Vista Ultimate x64bits SP1 ocupa 26,6GB de dados, com todas as atualizações disponíveis. Some a estes 26,6GB o pacote Office (Word, Excel e PowerPoint somente) e alguns jogos, como The Sims 3, Test Drive Unlimited, Flight Simulator X e outros mais recentes... Só de arquivos de programas, você terá aproximadamente 80GB de dados. Isso para não falar das bibliotecas de música e filmes que o usuário possa ter!


A solução mais simples seria ignorar os diretórios deste aplicativos, correto? Bem, e como fica então a perícia nos arquivos que estão neste diretório suspeito:

C:\Arquivos de Programas (x86)\Electronic Arts\The Sims\The Sims 3\Expasion Pack\ninfetinhas

OK, ignorar simplesmente estes diretórios de aplicativos "não suspeitos" não seria a melhor solução...

Para resolver esta questão, podemos utilizar hash sets, que são conjuntos de hashes (já falei sobre hashes aqui no blog aqui e aqui) de determinados aplicativos. O NIST (National Institute of Standards and Technology), por exemplo, mantém o NSRL (National Software Reference Library), que disponibiliza uma biblioteca com quase 20 MILHÕES de hashes e está disponível para download gratuitamente.



Estes hashes sets podem ser utilizados para ocultar informações (para arquivos desimportantes, como instalações do Office e do Windows) ou para destacar arquivos que merecem uma "atenção especial" (softwares crackers, quebra de senhas, esteganografia) no caso, e podem ser utilizados no EnCase ou no FTK.

No exemplo acima, o folder C:\Arquivos de Programas (x86)\Electronic Arts\The Sims\The Sims 3\ não teria arquivos (apareceria vazio dependendo do filtro utilizado) e o folder C:\Arquivos de Programas (x86)\Electronic Arts\The Sims\The Sims 3\Expasion Pack\ninfetinhas ficaria em evidência, acelerando a resposta da perícia. E se o usuário tentou ocultar alguma informação nos executáveis do jogo, não se preocupe, haverá alteração do hash do binário e o hash set não irá ocultar a informação!

Maiores informações aqui.

[IBP Convida] Direito Eletronico na Triplice Fronteira

IBP convida... Direito Eletrônico na Tríplice Fronteira

Maiores informações em 4n6.cc/8iAze

Friday, September 2, 2011

full disk encryption - TrueCrypt ou BitLocker?

Recentemente tive que formatar minha máquina e fiquei na dúvida entre qual solução de full disk encryption utilizar: TrueCrypt ou BitLocker.


 X 


O TrueCrypt funciona no Linux (para caso de algum disaster recovery) e o BitLocker utiliza o TPM. Isso é basicamente o que eu sabia da diferença entre os dois, e uma rápida consulta ao oráculo (a.k.a. Google) trouxe uma comparação entre os dois produtos realizada pelo pessoal da Tom´s Hardware. (Leitura recomendadíssima). Uma olhada rápida nos gráficos de benchmark entre as duas opções prova que as duas ferramentas são muito boas, e que quase não há diferença entre a performance de uma ou da outra:






Após leitura do artigo, optei por utilizar o BitLocker da Microsoft, nativo no Windows 7 Ultimate, ativei o TPM na BIOS e após instalação completa do SO e updates (como a Microsoft já liberou correções para o Windows 7, não? Tão novo já está todo remendado...), vamos pra criptografia!

Algumas muitas horas depois, o disco estava criptografado. Missão cumprida, meus dados estão a salvo utilizando BitLocker, nativo do SO. Qual a minha surpresa ao reiniciar o notebook após o término do processo:

Windows BitLocker Drive Encryption Information

The system boot information has changed since BitLocker was enabled.
You must supply a BitLocker recovery password to start this system.
Confirm that the boot changes to this system are authorized.
If the changes to the boot system are trusted, then disable and re-enable
BitLocker. This will reset BitLocker to use the new boot information.

Otherwise, restore the system boot information.

ENTER=Continue


Agora, toda vez que inicializo meu computador, tenho que entrar com uma cepa de número para o BitLocker voltar a vida. Andei pesquisando, e este não é um problema que só eu estou tendo. O pior é que ainda não achei uma solução definitiva para o problema: viva o processo de hibernação!

Próximo ciclo do PDCA para o próximo FDS livre: descriptografar o disco e download do TrueCrypt. A vida é assim....... Longa vida ao TrueCrypt!

Wednesday, August 31, 2011

[Convite] Lançamento do livro Crimes Virtuais, de Marcelo Crespo

É com grande satisfação que convido a todos os leitores do blog para o lançamento do livro - Crimes Digitais de autoria do Professor e Dr. Marcelo Xavier de Freitas Crespo, membro da Comissão de Crimes de Alta Tecnologia da OAB/SP.


Monday, August 29, 2011

AccessData lança vesão 3.4.1 do FTK

Change log em inglês:



What’s New in FTK 3.4.1?
Database and Processing Enhancements
  • FTK now ships with PostgreSQL. However it will continue to support Oracle, as well.
  • Increased overall processing performance through indexing optimizations in the evidence processing engine.
  • Define database location with PostgresSQL.
  • Archive expansion is on by default.
  • The processing engine now checks for connectivity to evidence files every 2 minutes during processing and will record any exceptions to the progress window.
  • Processing speed for EDB files has been greatly improved.
Bookmarking and Reporting
  • Reporting now has an option to keep email attachments together with parent email messages. This functionality is similar to reports generated by FTK 1.x.
  • The Bookmarks section of reports has changed to match the same tree structure created by the user in the FTK Examiner.
  • Bookmark Selection in File now allows for more than one selection per file to be added to a bookmark from any FTK tab.
  • FTK Reports now include links to jump to the first or last page of a multi-page section of a selected report.
Additional Encryption, File System and File Support
  • Added decryption support for…
    • Office 2010
    • Sophos SafeGuard Enterprise 5.5
    • Symantec Endpoint Encryption v8.0
    • Lotus Notes proprietary encryption, $SealData, for individually encrypted items inside an NSF.
  • Support for an additional 32 files types
  • A new column identifies encrypted PDFs, and encrypted PDFs are also flagged in file status.
  • Improved handling of Blackberry .IPD files: Now displays calendar information, phone hot-list, tasks, Bluetooth options and browser URLs

Friday, August 26, 2011

[DEMO] AccessData OCR - Optical Character Recognition

OCR, sigla em inglês para Optical Character Recognition, é uma tecnologia que permite reconhecer caracteres de texto em imagens, transformando-os em texto editável. Esta tecnologia é muito popular hoje em dia, pois a grande maioria dos scanners acompanha pelo menos um programa de OCR, que podem ser usados para obter texto de páginas impressas, substituindo a digitação manual.

As fontes True Type utilizadas pelos editores de texto são gravadas em modo vetorial, uma descrição matemática das curvas e linhas que compõem o caracter. Este recurso permite que o tamanho da fonte seja alterado livremente, sem perda de qualidade. Um programa de OCR atua basicamente comparando os caracteres digitalizados com estas fontes gráficas. 


Inicialmente, o programa examina a página para mapear os espaços em branco, reconhecendo títulos, colunas, parágrafos e imagens, o que permite manter a ordem correta do texto. Programas de OCR mais avançados, são capazes de manter toda a formatação da página. O segundo passo, consiste em comparar cada caracter com modelos de fontes suportadas pelo OCR. Havendo uma certa porcentagem de coincidência, o caracter é reconhecido. Como este primeiro processo demanda uma semelhança muito grande entre as fontes e os caracteres digitalizados, muitos acabam não sendo reconhecidos. Mas ainda não é o fim do mundo =)

Nos caracteres não reconhecidos, é aplicado um segundo processo bem mais minucioso, que consiste em analisar geometricamente cada caracter, calculando a altura, largura, e combinações de retas, curvas e áreas em branco. Novamente, é usada a lei da probabilidade: um caracter com uma curva em forma de meia lua que continua na forma de uma reta, por exemplo, tem uma grande chance de ser um "d" minúsculo por exemplo. Este segundo processo é muito mais demorado, pois para cada letra é preciso gerar todo um novo conjunto de caracteres gráficos. Se mesmo com o exame minucioso, não for possível reconhecer o caracter, o programa poderá utilizar um corretor ortográfico para corrigir erros bobos, ou preecher espaços vazios. Com a ajuda do corretor, "Ca1e-se" seria substituído por "Cale-se" e "Paralele#ípe~o" seria alterado para "Paralelepípedo". Uma última alternativa para reconhecer caracteres ilegíveis, pode ser mostrar individualmente o bitmap de cada caracter não reconhecido e, pedir ao usuário que o substitua pela letra correspondente, ou então, simplesmente, usar um símbolo como ~,% ou # no lugar do caractere para que o usuário possa corrigir o erro manualmente depois.

Em computação forense, algumas vezes nos deparamos com casos que a evidência principal está embutida em uma figura, como por exemplo um print screen de uma tela suspeita, ou várias paginas de um arquivo digitalizadas. Estes conteúdos dos arquivos de imagens não são responsivos a uma busca por palavra chave.

Print Screen, você está fazendo isso errado...

Para resolver esta questão, a AccessData implementou o recurso OCR que reconhece caracteres dentro de um arquivo de imagens e fotos no HD suspeito. 

Seu uso é bastante simples, e uma vez processado e indexado, o FTK utiliza o Index Search para que as palavras sejam localizadas nas figuras. Para processar as evidências com o OCR, o perito deve, ao adicionar a evidência, clicar em “Refinement Options...”:


Depois de abrir o “Refinement Options...” o perito deve marcar a opção “Optical Character Recognition” e depois clicar em "OCR Options...".



Como se pode ver, na tela OCR Options o perito pode escolher os tipos de arquivos que serão analisados pela engine do OCR. O engine é o algorítimo que será utilizado para processar os arquivos. Dependendo da sua licença, estará disponível o Tesseract (http://4n6.cc/QdPt6) ou GlyphReader (http://4n6.cc/3dT2W).


Depois de processar a evidência com a opção OCR marcada, o perito deve ir até o Index Search para fazer sua busca.


A pesquisa é feita normalmente sem distinção entre busca em arquivo de texto e arquivo de imagem. É simples, basta processar o caso/evidência com OCR e depois realizar as buscas desejadas. Caso a palavra chave seja encontrada em um arquivo gráfico, este arquivo será responsivo ao critério de busca!

Veja uma demonstração do recurso no vídeo a seguir:






Sunday, August 21, 2011

The Importance of Memory Search and Analysis

Muito interessante este White Paper produzido pela AccessData, destacando a importância em se realizar análise em memória da estação suspeita. Merece o bookmark!



Original disponível em 4n6.cc/hF8JB

Thursday, August 18, 2011

Sua empresa está preparada para manipular evidências digitais?


Os seguintes tópicos descrevem os passos básicos para conduzir investigações digitais e sugerem a ordem em que eles devem ser conduzidos. 

Desenvolvimento dos Procedimentos e Políticas
As áreas destinadas à investigação forense corporativa demandam profissionais especialmente treinados, suporte executivo da empresa e verbas suficientes para serem proficientes no seu trabalho.

Os departamentos devem criar procedimentos e políticas para não serem surpreendidos em situações não esperadas. Dentre os documentos que devem ser criados estão:

Declaração de Missão – Deve incluir as funções básicas do departamento, a visão estratégica aplicada ao negócio, perfil dos funcionários, etc.

Considerações administrativas – Incluir informações sobre licenciamento de software, alocação de recursos financeiros, treinamento, etc.

Requisição de Serviço – Estabelecer diretrizes para oficializar um processo de pedido de serviços forenses corporativos. 

Gerenciamento de Caso – Uma vez que a requisição de serviço está aprovada deve haver critérios para priorizar o trabalho e designar investigadores adequados para cada tipo de trabalho. 

Manipulação de Evidências – Parâmetros devem ser estabelecidos para receber, processar, examinar, documentar e manipular evidências digitais. É importante lembrar que um trabalho forense pode requerer participação de outras ciências forenses, tais como análise de impressão digital, fios de cabelo ou fibras no teclado, etc. 

Desenvolvimento de Procedimentos Técnicos – Estabelecer procedimentos que assegurem a manipulação eficiente dos dados. Estes passos, produtos ou tecnologias devem ser testados previamente em ambiente de laboratório.

Levantamento das Evidências
As evidências digitais devem ser acessadas respeitando sempre o escopo das pesquisas. É necessário que o investigador revise a requisição de serviço para fazer o trabalho e entregar apenas o que foi pedido pelo requisitante.

Levantamento do Caso
Revisão da Requisição de Serviço
Discussão se há necessidade de envolvimento de outras especialidades forenses no caso (Análise de DNA, impressão digital, etc. ;
Considerações da investigação de outros objetos, tipo: impressoras, scanners, câmeras digitais, pocket pc´s, etc.;
Especificação dos tipos de arquivos a serem procurados, tipo: fotos, planilhas, documentos, bancos de dados, registros financeiros, etc.;
Determinação das informações adicionais relacionadas ao caso, tipo: IP, nome da máquina, contas de e-mail, usuários que acessam comumente a máquina, logs de sistema, senhas, etc.
Identificar o nível de conhecimento do investigado. Técnicas empregadas por usuários avançados podem dificultar o trabalho de levantamento de informações (criptografia, esteganografia, etc.).
Determinar o tipo de equipamento necessário para o trabalho.

Um ponto importante a se ressaltar no início dos trabalhos é a garantia da segurança dos investigados. Nunca se sabe a reação que será tomada por um suspeito que pegue sua máquina aberta inadvertidamente!



Considerações sobre o local das investigações
- Determinar se há rede wireless presente
- Entrevistar os administradores de sistema
- Identificar possíveis locais de armazenamento de backups e mídias removíveis
- Identificar previamente o Sistema Operacional

Considerações legais
- Determinar com o jurídico da empresa se há embasamento jurídico para o trabalho
- Assegurar a cadeia de custódia, caso a mídia possa ser apresentada na justiça
- Identificar possíveis problemas relacionados à justiça trabalhista e civil.

Aquisição das Evidências
As evidências digitais por natureza são extremamente frágeis, podendo ser invalidadas, alteradas ou destruídas. Devido a isso alguns tipos de procedimentos devem ser seguidos para se preservar esse tipo de evidência.

O princípio básico é garantir a aquisição dos dados digitais de maneira a se proteger a evidência. Alguns dos cuidados que devem ser tomados para isso são:

Manipular a evidência digital de acordo com os padrões corporativos previamente
Documentar o hardware e o software da máquina do examinador
Abrir a CPU do computador examinado para ter acesso físico aos dispositivos internos
Identificar os dispositivos que precisam ser adquiridos (removíveis ou não)
Documentar os dispositivos internos e a configuração de hardware da máquina investigada



Exame dos Dados
Nesse ponto os dados já estão disponíveis para aferição. Os conceitos abaixo servem para auxiliar ao investigador a pontuar e desenvolver uma seqüência para o exame dos dados digitais. Os passos abaixo citados não são definitivos e podem ser alterados ou acrescentados de outros detalhes. Fica a cargo do investigador decidir quais são os melhores métodos a serem adotados.

Ao iniciar os exames de evidências digitais, considere usar os seguintes passos:

PREPARAÇÃO
Procure pelos diretórios pelos arquivos e dados que podem ser recuperados e extraídos.

EXTRAÇÃO
Existem dois tipos de extração de dados, a física e a lógica. A extração física identifica e recupera dados através de um disco inteiro sem se ater ao sistema de arquivos. A extração lógica trabalha sob o sistema operacional, o sistema de arquivo e as aplicações.

Extração Física
Durante essa fase os trabalhos acontecem no nível físico do disco, sem se importar com o sistema de arquivos existente. Podem ser feitas pesquisas por palavra-chave, recuperação de clusters não alocados do disco e partições, entre outros.

Extração Lógica
Nesta fase dos trabalhos se trabalha no nível do sistema de arquivos presentes no disco e podem incluir áreas como arquivos deletados, file slack, e áreas não-alocadas. Algumas das tarefas que podem ser executadas nessa fase são:

1. Coleta das informações do sistema de arquivos para revelar características como estrutura de diretórios, atributos de arquivos, nome de arquivos, tamanho de arquivos, horários de acesso, etc.
2. Afunilamento de dados para identificar e eliminar arquivos conhecidos através de comparação de hashes ou assinatura de arquivos
3. Recuperação de arquivos e e-mail apagados, ou em áreas de paginação do disco (Ex.: Arquivo Pagefile.sys, nos sistemas Windows)
4. Identificação de dados protegidos por senha, encriptados ou comprimidos
5. Identificação e extração de espaços não-alocados e file slack

ANÁLISE DOS DADOS EXTRAÍDOS
Essa fase contempla a interpretação dos dados extraídos para determinar a correlação com o caso ou não. Alguns tipos de análise que podem ser executados são:

Análise de linha do tempo – É útil para determinar se um evento aconteceu em um computador tem associação com um ou mais investigados.
Revisão dos logs de aplicação e de sistema – Podem incluir erros de aplicação, logs de instalação, conexões e segurança, etc.
Análise de dados ocultos – Pode-se encontrar Alternate Data Streams, arquivos criptografados, esteganografia, entre outros.
Análise de aplicações e arquivos – Vários programas e tipos de arquivos podem conter dados substanciais ao caso. Dentre os métodos que podem ser utilizados para aferir esses dados podemos citar: Revisão de tipos de arquivo, assinaturas, hash, sistemas operacionais presentes, entre outros.

CONCLUSÃO
A partir de todos os dados coletados, documentados e aferidos é possível se vislumbrar uma conclusão para o incidente. Nesse passo todo o processo e conferido, organizado e apresentado à área que demandou o serviço.

Organização do Relatório Final
O examinador é responsável por documentar com responsabilidade e isenção os seus achados. A documentação é um processo recorrente no trabalho de um investigador corporativo e deve ser seguido metodicamente. 

É importante lembrar que normalmente os dados encontrados, muitas vezes bits e bytes, não são inteligíveis ao grande público. É importante que o relatório final seja escrito com linguagem simples e sem “tecnoquês”.

Algumas informações que devem estar em um anexo do relatório final:
Cópia da abertura do chamado, com os detalhes especificados
Cópia do documento de cadeia de custódia
Notas detalhadas do processo de duplicação forense dos dados
Notas sobre as datas e horários de cada fase do exame dos dados
Documentação sobre irregularidades encontradas e quais ações foram tomadas sob esses imprevistos
Informações adicionais sobre informações do domínio/rede, lista de usuários que já tiveram acesso à máquina investigada, senhas, acordos de serviço assinados com o usuário
Documentação sobre backup dos dados do investigado

RELATÓRIO FINAL
Estas são algumas sugestões sobre quais informações devem estar detalhadas num relatório final. Estes detalhes devem ser firmados durante a implantação da área na corporação, e devem ter aprovação dos departamentos jurídicos, tecnologia, segurança, auditoria, e demais envolvidos.

Nome da Empresa
Número do Incidente
Nome do Investigador
Data do início e do fim dos trabalhos
Descrição dos itens enviados para investigação, incluindo números de série, modelo e fotos
Descrição dos passos tomados para investigação, bem como palavras-chave utilizadas, imagens encontradas e arquivos deletados recuperados
Conclusões

OBS: este arquivo foi repassado para mim por um cliente, não sei a origem das informações nem o autor. Procurei no Google, mas sem sucesso. Se alguém souber quem é o "dono" do texto, por favor, me avisem =)