Sunday, January 30, 2011

uma análise do 27C3

Muita gente está falando do jailbreak do PS3, e de fato é um grande acontecimento (causado por um grande #fail da Sony), mas o 27C3 (27th Chaos Communication Congress) que aconteceu em Berlim teve também muitos outros fatos marcantes. Todas as palestras estão disponíveis em vídeo no site do evento, algumas até com o PPT para download!



Além do jailbreak do PS3, outras palestras merecem destaque:


  • Julia Wolf divertiu e impressionou o público com o seu ataque frontal ao formato PDF – sim, o mesmo que você usa todos os dias para ler documentos. Ela mostrou que o formato PDF é tão pouco seguro que um hacker seria capaz de incorporar a ele um programa que o usuário nunca seria capaz de ver, e que espalharia seus tentáculos invisíveis pela máquina infectada, revelando todos os segredos a quem quisesse. Apesar da popularidade, o formato PDF já tem mais de uma década de idade e a sua documentação tem mais de 1000 páginas. Ao fim da palestra de Wolf, todos nós estávamos querendo que o PDF fosse aposentado em nome da segurança e privacidade. http://www.youtube.com/watch?v=54XYqsf4JEY

  • A baseband (às vezes chamada de “banda base” em português) é a parte do seu celular que envia e recebe sinais de transmissão. E parece que se o seu telefone está na rede GSM, é fácil pra caramba manipular a baseband com todos os tipos de truques sujos, desde configurar estações-base falsas que espionarão as suas conversas e MSMs até enviar secretamente programas ao seu telefone. Programas estes que podem fazer de tudo, como roubar seus dados ou transformar o seu telefone em uma escuta. Quando você faz uma ligação via GSM, quem está do outro lado? não é impossível que seja qualquer um exceto a pessoa com quem você queria falar. http://www.youtube.com/watch?v=TzR7R6fBr00

  • O pesquisador de segurança Steven Murdoch, da Universidade de Cambridge, revelou sem piedade como é fácil quebrar a segurança dos cartões de crédito inteligentes e dos caixas eletrônicos do Reino Unido. Apesar dos bancos britânicos declararem que a segurança estes cartões é inquebrável, na verdade ela já foi quebrada muitas vezes, e muitos clientes já perderam dinheiro. Murdoch é um ótimo orador, e vale a pena assistir ao vídeo para ouvir as explicações dele sobre os três métodos que os hackers podem usar para roubar o seu dinheiro usando o sistema de chip e senha dos smartcards. A análise de Murdoch foi tão devastadora que os bancos britânicos tentaram derrubar os seus trabalhos sobre o assunto censurar a sua pesquisa. Felizmente, não conseguiram silenciar o homem. http://www.youtube.com/watch?v=gv3dxjvqk7Y

  • Eleanor Saitta trabalha com “modelagem de ameaças”, prevendo novos modos que os sistemas têm de falhar – de redes corporativas à infraestrutura de um país inteiro. Aqui ela demonstra diversas diversas formas que inimigos maliciosos ou pura negligência podem destruir infraestruturas essenciais, incluindo a rede de distribuição elétrica. O que fazer a respeito? http://www.youtube.com/watch?v=vn8TQuYkY_g

  • Dan Bernstein, cientista da computação e expert em criptografia da Universidade da Chicago, é uma lenda entre os hackers. Ele já escreveu alguns dos códigos mais seguros conhecidos pela humanidade (tente zoar o qmail – não dá) e advoga ferrenhamente – e criativamente – pela erradicação dos sistemas quebrados de segurança online. Ele fez uma apresentação digna de gênio louco onde revelou que o frequentemente elogiado sistema de segurança de redes DNSSEC é tão mal projetado que uma ferramenta perfeita para um ataque de Denial-Of-Service. E depois ele propôs um sistema futurista e animal de envio de dados pela internet, que tornaria praticamente impossível o lançamento de ataque DOS – e impediria que bandidos interceptassem os seus dados bancários para enviar sabe-se lá para mafiosos. A parte mais legal do sistema novo do DJB, baseado em ferramentas de encriptação que ele chama de DNSCurve e CurveCP, é que ele poderia ser implementado hoje, agora, por cima da internet que conhecemos. E é absurdamente rápido. Presenciar a palestra do DJB me encheu de esperança para o futuro da Web, e o seu ataque devastador ao DNSSEC foi o melhor exemplo de trollagem inteligente que você ouvirá este ano. Nota: para assistir, é só passar os primeiros minutos do vídeo abaixo, nos quais os organizadores estão preparando as coisas e as pessoas estão tomando os seus lugares. http://vimeo.com/18279777







Página do evento: http://events.ccc.de/congress/2010/wiki/Main_Page


Com informações do Gizmodo.

Friday, January 28, 2011

Uma análise da McAfee sobre a última década

A McAfee liberou um documento muito bom intitulado: Uma boa década para o cibercrime - Uma análise retrospectiva da McAfee sobre dez anos de cibercrime.


Neste documento a McAfee destaca as cinco principais explorações da última década e seus danos, em US$:

1. A infecção em massa do MyDoom: danos estimados em US$ 38 bilhões 
Esse worm em rápido movimento atacou pela primeira vez em 2004 e está no topo da lista do McAfee Labs em termos de danos monetários. O worm foi projetado para infectar computadores e enviar e-mails de spam. Devido ao volume de spam enviado, o MyDoom reduziu o acesso à Internet em 10% e reduziu o acesso a alguns sites em 50%, gerando bilhões de dólares em perda de produtividade e de vendas on-line.


2. “ O falso afeto do worm “I LOVE YOU”: danos estimados em US$ 15 bilhões
O worm “I love you” (Eu te amo), que foi batizado assim em homenagem ao assunto do e-mail em que era enviado, provou ser irresistível em 2000, uma vez que milhões de usuários abriram a mensagem de spam e efetuaram o download do arquivo anexo “love letter” (Carta de amor). Infelizmente, em vez de palavras doces, receberam um amargo vírus. Esse worm infame custou a empresas e a agências do governo US$ 15 bilhões para desativar seus computadores e remover a infecção.






3. Destruição furtiva do Conficker: danos estimados em US$ 9,1 bilhões
Esse worm de 2007 infectou milhões de computadores e levou sua infecção ainda mais adiante que os dois primeiros worms na nossa lista, à medida que os cibercriminosos passaram da notoriedade pessoal para o profissionalismo. O Conficker foi projetado para efetuar download e instalar o malware de sites controlados pelos criadores do vírus. O malware incluiu um registrador dos toques de tecla e outro software de controle do PC que forneceram aos cibercriminosos informações pessoais dos usuários, bem como acesso as suas máquinas.


4. Worm Stuxnet — Agressivo e perigoso: dano desconhecido
Esse worm recente tem o foco em infraestrutura crítica, como as concessionárias de serviços ( de energia, saneamento básico, entre outras) e sistemas de controle aproveitando diversas vulnerabilidades no sistema Windows. O Stuxnet supostamente danificou instalações do governo na Índia, nos EUA e na Indonésia, bem como  instalações nucleares no Irã. Os criadores do worm ainda são desconhecidos, mas o mundo está ciente da presença do Stuxnet e da ameaça dos ataques agressivos.


5. Rede de bots Zeus — Um ladrão de informações versátil: dano desconhecido
Os cibercriminosos batizaram essa rede de bots em homenagem ao deus grego, e embora não seja toda poderosa, tem sido um problema para os usuários desde 2007.

Além disso, a McAfee publicou também as cinco fraudes mais comuns, que mais enganam os usuários.

O documento completo você encontra aqui: http://www.mcafee.com/br/resources/reports/rp-good-decade-for-cybercrime.pdf

formspring.me

Olá pessoal! Seguindo a onda de atualizações do blog e preparando um 2011 sensacional, a partir de hoje, quem tiver alguma dúvida referente à computação forense, pode utilizar o serviço (rede social??) formspring para questionar-me sobre o tema.

Já estou utilizando o serviço a alguns dias, mas agora é oficial!

Há, se eu não souber a resposta, vou pesquisar! (e isso pode levar um tempo =)

Formspring.me é uma rede social que permite que os usuários recebam perguntas de outros usuários ou de pessoas não cadastradas. As perguntas são enviadas para a caixa de entrada, de onde o usuário pode escolher entre respondê-las ou excluí-las. Todas as respostas são armazenadas no perfil do usuário, onde qualquer um pode vê-las.






A melhor parte é que quem quiser utilizar, não precisa de usuário ou cadastro no site.

Thursday, January 27, 2011

Novidades no blog!

Hoje o blog passou por uma reestruturação, para ficar mais leve e cortar umas gordurinhas desnecessárias... Esta foi a segunda reestruturação desde o início das atividades deste blog, e agora estou bastante satisfeito com o resultado! Já a algum tempo venho testando alguns layouts diferentes, alguns widgets mais leves, e o resultado é ótimo: visual mais clean, tempo de carga menor e outros...



O impressionante é que toda migração ou mudança (ITIL based =) tem que dar um probleminha ou outro.... Para atualizar os últimos 50 posts e adicionar os ícones para compartilhamento em rede social (Twitter e Facebook), utilizei um script que, basicamente, atualiza o código e re-publica os posts... #fail


É, faz parte... Pelo menos o blog está de cara nova...

Sistema de arquivos NTFS

NTFS é a sigla para New Technology File System. Desde a época do DOS, a Microsoft vinha utilizando o sistema de arquivos FAT, que foi sofrendo variações ao longo do tempo, de acordo com o lançamento de seus sistemas operacionais. No entanto, o FAT apresenta algumas limitações, principalmente no quesito segurança.



Por causa disso, a Microsoft lançou o sistema de arquivos NTFS, usado inicialmente em versões do Windows para servidores. O sistema de arquivos FAT é aceitável e perfeitamente funcional para a maioria dos usuários domésticos. Porém, trata-se um sistema antigo, que mesmo com novas versões, herdou a simplicidade da primeira versão. As limitações do FAT, principalmente quanto à segurança, capacidade e confiança, fizeram do FAT um sistema de arquivos inadequado para uso em servidores e aplicações críticas. 

A Microsoft, estando ciente disso, decidiu desenvolver um sistema de arquivos que se adequasse aos princípios de funcionamento do Windows NT e lançou o New Technology File System, conhecido pela sigla NTFS. Entre os objetivos da idealização do NTFS estavam o fornecimento de um sistema de arquivos flexível, adaptável, altamente seguro e confiável. Sem dúvida, tais características fizeram do Windows NT um sistema operacional aceitável para as aplicações cujo seu desenvolvimento foi planejado.

Assim como aconteceu com o FAT, o NTFS também tem versões, que foram lançadas principalmente no surgimento de novos Windows. A cada versão, correções de falhas são feitas, suportes a hardware são implementados e novas características são dadas ao NTFS. A princípio houve o NTFS 1.0 usado no Windows NT 3.1 (por isso, esta versão do NTFS também ficou conhecida por NTFS 3.1).


Com o lançamento do Windows NT 4, o NTFS ganhou a versão 1.1 (ou versão 4). Esta versão também foi usada no Windows NT 3.51. O sucesso do Windows NT foi tão grande que sua versão do NTFS virou referência em sistemas de arquivos. A Microsoft não ficou parada e lançou a versão conhecida como NTFS 5.0 com o lançamento do Windows 2000, substituto do Windows NT. Só para servir de exemplo, o serviço Active Directory é um dos chamativos do Windows 2000 e foi implementado graças a alterações no FTFS. 

Entre os novos recursos do NTFS 5 estão: Reparse Points, onde arquivos e pastas dentro do sistema de arquivos podem ter ações associadas a eles, de forma que operações particulares a estes arquivos possam ser executadas; novas características de segurança, onde o mecanismo para gerenciamento da segurança e de usuários, principalmente em relação a acesso e arquivos foram melhorados; quotas de discos, onde o administrador do sistema pode determinar o espaço em disco disponível a um usuário ou a um grupo de usuários; diários de alterações, onde volumes podem ser ajustados para rastrear as operações efetuadas nos arquivos e pastas; codificação, onde o sistema permite que arquivos sejam codificados/decodificados automaticamente; suporte a arquivos esparsos, onde é possível armazenar de forma eficiente arquivos esparsos (que são arquivos grandes mas que possuem algumas estruturas vazias, desperdiçando espaço em disco).

Conforme as características herdadas do HPFS, o NTFS trabalha de uma forma mais eficiente no gerenciamento do espaço de disco. Isso porque as informações são armazenadas em uma base por setor do disco, em vez de utilizar clusters de múltiplos setores. Essa forma de trabalho, traz várias vantagens, como menor necessidade de desfragmentação de disco e maior consistência de dados. Isso porque essa arquitetura de dados por base em setor permite manter os dados próximos, ou seja, não espalhados pelo disco. Até o gerenciamento de grandes quantidades de dados é beneficiado por esta característica, já que como acontecia com o FAT, trabalhar com clusters por setor, fazia do sistema de arquivos dependente de um número pré-determinado de setores.



Maiores informações:

  • CARRIER, Brian. File System Forensic Analysis. Upper Saddle River: Addison-Wesley, 2005.



Recomendo também a leitura dos textos da Microsoft:

Wednesday, January 26, 2011

Etapas da Investigação Digital - a Coleta

Um profissional que leva as informações de uma investigação forense digital para um âmbito jurídico, sabe que algumas medidas devem ser tomadas para que nenhuma falha no processo culmine em anulação de todo o processo investigativo.

Minha idéia é escrever aqui no blog os processos para uma análise simples em disco rígido, em uma máquina post mortem. Não vou apenas descrever os processos, mas também vou apresentar minhas experiências e dar algumas dicas sobre as etapas e o processo como um todo.

O processo ao qual me refiro foi definido pelo Departamento de Justiça Americano, em 2001*, descrito em quatro etapas para uma investigação forense digital, a saber:
  1. Coleta
  2. Exame
  3. Análise
  4. Relatório
A primeira etapa é talvez a mais importante: a Coleta. A Coleta consiste em, basicamente, capturar os dados a serem investigados e prepará-los (gerar HASH, por exemplo) para o Exame (etapa 02). As boas práticas (e a experiência também) recomendam duplicar o disco original para evitar acidentes (queda acidental no HD suspeito) ou possível manipulação/corrupção dos dados (acidental ou ilícita, com objetivo de adulterar o resultado da investigação). Existem várias formas para se duplicar um disco rígido, mas com certeza a mais prática é utilizando um duplicador de discos forense.


Este post é baseado totalmente na minha experiência utilizando o duplicador de discos SOLO-4.

O SOLO-4 é um hardware com bloqueio de escrita nas portas de HD "suspeito", capaz de evitar qualquer alteração nos dados do disco "suspeito". Utilizando discos SATA-2, é capaz de transferir dados a uma velocidade de até 7GB por minuto! Como possui duas interfaces para "suspeito" e duas interfaces para "evidência", este equipamento é capaz de realizar duas cópias distintas simultaneamente.

Tem suporte para cópia de/para dispositivos SATA, SAS e USB (para HDs portáteis e Pen Drives). É capaz de gerar HASH em MD5, SHA1 e SHA256 das evidências.



Detalhe para as portas de Evidence / Target e Suspect / Source (clique para ampliar)


Basicamente, o que o SOLO-4 faz é duplicar discos a uma velocidade altíssima e garantindo a integridade dos dados originais.



O equipamento possui dois modos de uso: wizard (assistente), para quem é objetivo ou não quer cometer nenhum erro, e um modo advanced, que permite maior controle da operação que está sendo executada.

Interface Advanced Screen, para quem sabe o que está fazendo.

Na interface Advanced Screen, a pessoa que estiver criando a imagem do disco, pode selecionar o tipo de operação (Single Capture, Linux DD Capture), definir o Hash a ser gerado (SHA1, SHA256, MD5...) dentre outras opções.

Além do processo de copia, o SOLO-4 é capaz ainda de sanitizar discos, evitando assim possível contaminação cruzada de evidências. Para tal, ele pode ser configurado para utilizar o modo WipeOut-DOD ou o modo WipeOut-Fast:

O modo de operação WipeOut DoD oferece o método de sanitização definido pelo Departamento de Defesa Norte Americano como DOD 5220-22M. Usando os comandos DELETE e ERASE, os dados no disco rígido permanecem acessíveis para uma variedade de operações. A técnica de WipeOut DoD fornece uma solução para esse problema utilizando uma série de operações de escrita de valores nulos que remove completamente todos os dados do disco rígido. O processo é realizado em três iterações que escrevem os dados diretamente no disco conectado à unidade forense. Cada iteração realiza duas passagens de escrita em todo o disco. A primeira passagem escreve sequências de números um (hexadecimal 0xFF) no disco todo. A segunda passagem escreve sequências de zeros (hexadecimal 0x00) em toda a superfície do disco. E após a terceira iteração ocorre a passagem de escrita em toda a superfície do disco chamada código “246” (hexadecimal 0xF6), seguida pela oitava passagem que realiza a inspeção através de operações de leitura e verificação.

O modo de operação Wipeout Fast fornece um método rápido de sanitização não-DoD a todos os dados armazenados. O processo envolve a escrita de um valor hexadecimal definido pelo usuário no disco de destino conectado à unidade forense. O número de iterações para esse método também é definido pelo usuário. O processo é contínuo e sistemático, iniciando no primeiro byte do primeiro setor do disco e termina quando encontra o último byte do último setor do disco.

Detalhe da opção Wipeout settings

O pessoal do Forensic Focus também escreveu um review sobre o Solo-4. Maiores informações no site do fabricante.


*Este processo foi remodelado em 2007 e possui desde então7 etapas fundamentais.

Tuesday, January 25, 2011

Cellebrite UFED é utilizado em seriado policial

O pessoal do CSI:NY está bem equipado para resolver crimes em dispositivos portáteis: eles utilizam o UFED, da Cellebrite:


Entre as muitas cenas com exagerado nível de ficção científica (até engraçadas), o que a perita utiliza para capturar as informações do iPad é um UFED da Cellebrite:


O UFED é um dispositivo portátil para captura de informações de telefones celulares e outros dispositivos portáteis, como tablets e aparelhos de GPS.

Claro que, quando falamos da série CSI, não podemos nos esquecer que eles são "meio" exagerados em alguns pontos do programa:


Clique para ampliar and have fun!



PS: O UFED da Cellebrite é o momento não ficção do vídeo =)



[Update 01] Não foi a primeira vez que o Cellebrite UFED aparece no seriado:


Monday, January 24, 2011

ADS - Alternate Data Stream

Hoje estava explicando para os novos trainees o conceito de Alternate Data Stream - ADS e, como todo bom técnico, procurei no Google alguns exemplos e achei alguns textos e artigos na internet que na maioria mais atrapalhavam do que explicavam realmente um conceito que é muito simples... O próprio site da Microsoft traz uma tradução automática que eu classifico como "tosca".

Basicamente, o ADS é um recurso do NTFS (desde o Windows NT) para tentar manter compatibilidade com o sistema de arquivos HFS do Macintosh (que já não é mais utilizado, o file system do Mac OS X é o HFS+, uma evolução do HFS). No HFS, este recurso é utilizado para armazenar os ícones dos arquivos, por exemplo.


 
O Mac OS utiliza HFS, já o MacOS X, HFS+


Alguns artigos que eu encontrei citavam o uso de rootkits para utilizar este recurso (que é do próprio file system) para ocultar informações. A idéia deste post é facilitar um pouco as coisas: acredite, você não precisa do metasploit instalado para brincar um pouco com o ADS...

Basicamente, vamos utilizar aqui o DOS e alguns comandos básicos para ocultar um arquivo de texto dentro do outro (.txt)



Perceberam como é fácil? Não vou explicar o passo a passo... Somente a parte principal: o segundo comando, informa o nome do arquivo, sucedido por um sinal de ":" e então o nome do arquivo oculto.

Bem simples, não?

O mesmo conceito se aplica para diretórios e também para executáveis.




Quem busca maiores informações sobre o ADS, achei um texto muito bom aqui.

[Update 01]


Encontrei uma referência muito boa sobre o tema, inclusive com uma imagem que ilustra muito bem o tema:



Perceberam a sutileza?? Arquivo:ADS...

Encontrei esta referência aqui.

[Update 02]


Para quem estiver interessado em detectar ADS no file system, também não precisa de nenhuma ferramenta sofisticada, veja:


Um simples DIR /R já lista os ADS do diretório... Reitero:  simples, não?

Update 04/04/11:
Nem só de ADS vive o homem... Você consegue imaginar quantas técnicas existem para ocultação de dados em disco?


Maiores informações aqui.

Saturday, January 22, 2011

Para STJ, Google não é responsável por conteúdo postado no Orkut

Empresa foi processada por não fiscalizar informações ofensivas no Orkut. Esta decisão servirá de precedente para outros processos envolvendo a internet.

A terceira turma do Superior Tribunal de Justiça (STJ) decidiu que o Google não pode ser responsabilizado por todo o conteúdo publicado no site de relacionamento Orkut, que pertence à empresa. Os ministros negaram em dezembro do ano passado pedido de indenização por danos de uma mulher que se sentiu ofendida por informações publicadas no Orkut. A decisão só foi divulgada nesta quinta (20). O G1 procurou o Google para se manifestar sobre a sentença, mas não obteve resposta.
Na ação, além da indenização foi pedida a exclusão do conteúdo ofensivo relacionado à autora do processo. A mulher argumentou que o Orkut é uma prestação de serviço do Google. Ela acusa a empresa de não ter mantido o compromisso de exigir identificação do usuário que teria elaborado as ofensas, o que seria classificado como negligência. A autora do processo ainda pode recorrer.
A decisão do STJ servirá de precedente para outros processos que tramitam na justiça brasileira envolvendo as empresas de internet. De acordo o entendimento dos ministros, o Google não responde por informações ilegais inseridas no site por terceiros e não pode ser obrigado a exercer um controle prévio do conteúdo postado pelos usuários.
“Entretanto, também não é razoável deixar a sociedade desamparada frente à prática, cada vez mais corriqueira, de se utilizar comunidades virtuais como artifício para a consecução de atividades ilegais”, afirmou a ministra relatora do caso no STJ, Nancy Andrighi.
A decisão considera ainda que ao tomar conhecimento de práticas ilegais os provedores devem remover o conteúdo, sob pena de serem responsabilizados, e manter condições mínimas de identificação dos autores.
Os ministros da terceira turma entenderam também que não faz parte do serviço prestado pelo Google fiscalizar o conteúdo postado pelos usuários. Segundo a relatora, a verificação prévia poderia prejudicar a principal característica da internet, a comunicação em tempo real.
A ministra lembrou que outro problema de monitorar o conteúdo de sites de relacionamento seria o critério para descarte de informações. De acordo com a decisão do STJ, a função do Google é “disponibilizar na rede as informações encaminhadas por seus usuários e assim garantir o sigilo, a segurança e a inviolabilidade dos dados cadastrais de seus usuários, bem como o funcionamento e a manutenção das páginas na internet que contenham as contas individuais e as comunidades desses usuários”.

Reportagem veiculada no portal g1.globo.com em 21/01/11.

Monday, January 17, 2011

oevapnaqb qr pevcgbtensvn

Sempre defendi que ensinar é a melhor forma de aprender: esta semana estava dando um treinamento de FTK para uma equipe de auditores quando, ainda nas informações preliminares, apresentando a AccessData e falando sobre seus produtos e seus treinamentos, quando no slide sobre os treinamentos disponíveis o aluno me interrompe: "há, isso é ROT13: applied decryption"!


criptografia em ROT13 - APPLIED DECRYPTION


De fato, o primeiro tópico abordado no treinamento Applied Decryption é referente ao ROT13, mas jamais pensei que o que estava na mídia era o nome do treinamento, em ROT13...

Basicamente, ROT13 é uma técnica de criptografia por substituição, dividindo o alfabeto de 26 letras em duas partes de 13 e substituir as letras por seu par. No exemplo abaixo, HELLO se transforma em URRYB.




Veja algumas curiosidades geradas pela técnica ROT13:
  • fur ↔ she
  • clerk ↔ pyrex
  • PNG ↔ cat
  • purpura ↔ Chechen
  • SHA ↔ fun
  • terra ↔ green (esta foi a que mais me chamou atenção !)
  • bar ↔ one
  • gel ↔ try
  • flap ↔ sync


A propósito, o título deste post significa "brincando de criptografia", em ROT13 =)

Links úteis:

Conversor de ROT13: http://personal-computer-tutor.com/rot13.htm
Wikipedia - ROT13: http://en.wikipedia.org/wiki/ROT13

Friday, January 14, 2011

OAB Convida…”O novo IP: IPv6 e algumas ponderações jurídicas”

Evento OAB - São Paulo sobre o IPV6 e algumas ponderações jurídicas:

Clique para ampliar

Estarei lá!

Original em http://www.mokrejs.com/oabsp/20110111_IPv6/20110111_IPv6.html

Missão EnCE: Phase II

De volta em casa - algumas pessoas acompanharam a saga pelo Twitter =), já recebi o kit e iniciei hoje mesmo as atividades para conclusão do Phase II do meu EnCE.


Recebi a mídia com o caso a ser analisado e um dongle para conseguir utilizar o Guidance EnCase. Devido a uma cláusula de confidencialidade deste exame de certificação, não poderei dar NENHUMA informação adicional sobre este caso e os próximos passos deste exame de certificação...

Espero que o próximo post da série Missão EnCE seja para dar as boas notícias!!

Thursday, January 13, 2011

O caminho para decifrar informações ocultas

Conforme prometido, estou de volta para falar sobre esteganálise! A esteganálise está para a esteganografia assim como a criptoanálise está para a criptografia, mas, ao contrário da criptoanálise, a detecção destes dados não é tão obvia. O objetivo da esteganálise é detectar informações ocultas em arquivos de imagens e, quando possível, recuperar a informação escondida.

Observe os arquivos abaixo:







Visualmente são idênticos, mas o segundo arquivo contém uma mensagem escondida. Note que, visualmente, é impossível perceber alguma alteração na imagem resultante, com a mensagem oculta. Para detectar estas alterações (com a informação oculta), utilizamos algumas técnicas e algoritmos, dependendo do tipo de informação disponível. Por exemplo, se conhecemos a ferramenta utilizada para a esteganografia ou se temos o arquivo original e o arquivo possivelmente alterado (por exemplo, duas imagens idênticas, com tamanhos diferentes).

Algumas técnicas são:

• Stego-Only Atack (apenas esteganografia): Somente a imagem final (com informação oculta) está disponível para o esteganoanalista.

• Known cover (mensagem de cobertura conhecida): A mensagem de cobertura (cover-message) é comparada com o estego-objeto(stego-object) para detectar as diferenças entre os arquivos.

• Known message Atack (mensagem conhecida): É a análise de padrões conhecidos que correspondem à informação escondida que pode ajudar contra-ataques no futuro.

• Stego-attack (ataque de esteganografia): É utilizada uma mesma mensagem de cobertura várias vezes.

• Known-cover-message (dado embutido e mensagem de cobertura conhecidos): São conhecidas a informação inserida e a mensagem de cobertura usada(cover-message).

Como não há um padrão de esteganografia, e sim vários algoritmos possíveis disponíveis para implementação desta técnica, ferramentas de detecção tem um árduo trabalho a ser executado. Algumas ferramentas são focadas não a detectar imagens com esteganografia embutida, mas sim detectar ferramentas que são utilizadas para geração destas imagens com conteúdo oculto. Como o foco do primeiro artigo foi o LSB (least significant bit), vamos seguir na mesma linha neste artigo.

Basicamente, a técnica para detectar o uso de esteganografia via LSB consiste em dividir a imagem em pequenos segmentos adjacentes, aplicar uma função matemática que vai descrever cada um destes segmentos como um número real, e então, a partir destes números inteiros, uma outra função matemática irá calcular o quão “semelhantes” estes números são e então apontará ou não o uso de esteganografia na imagem analisada.




Esta técnica pode parecer um pouco complexa, e de fato é. Mas é uma técnica com alto nível de acerto e o algoritmo foi até patenteado nos EUA. Maiores informações sobre esta patenteada técnica de detecção de esteganografia estão disponíveis neste site.

Existem outras técnicas menos complexas, como por exemplo gerar uma paleta de cores a partir da imagem suspeita e então analisar esta paleta de cores. Maiores informações sobre esteganálise estão disponíveis em um excelente artigo escrito por Neil F. Johnson e Sushil Jajodia.

E para quem estiver interessado em alguma ferramenta para detecção de esteganografia, recomendo muito o StegoSuite, desenvolvido pela WetStone. Este produto traz um conjunto de ferramentas capaz de garantir que nenhuma informação passará escondida durante a investigação e análise de uma massa de dados.


Original publicado no blog da TechBiz Forense Digital.

Monday, January 10, 2011

Missão: EnCE - Phase I

É com imensa satisfação (e alívio) que declaro que o Phase I do exame de certificação EnCE foi um sucesso!

EnCE cada vez mais próximo!

Com 174 questões mesclando conhecimentos específicos sobre a ferramenta EnCase e computação forense em um curto espaço de tempo: 120 minutos (174 questões / 120 minutos = 1,45 min por questão o.O), e um  countdown no topo da tela para te lembrar a todo instante que o tempo está contra você =)

Tirando a pressão psicológica exercida por este countdown, o exame é democraticamente dividido em questões simples, complexas, muito complexas e algumas pegadinhas... O livro do Steve Burtin ajudou muito nesta primeira fase, muito mesmo!

Para quem está curioso e quer algumas  dicas sobre as questões da prova: A Guidance disponibiliza um study guide excelente, abordando TODOS os tópicos que devem ser estudados para o sucesso neste exame de certificação. Maiores informações aqui.

O pessoal responsável pelo EnCE na Guidance já despachou o kit para o Phase II, devo recebê-lo esta semana ainda e tenho 60 dias para devolver o caso resolvido. Agora é concentrar e aplicar na prática os conceitos e teorias do EnCase!

Livro: Investigação e Perícia Forense Computacional

A alguns dias atrás fui presenteado pelo amigo Raffael Vargas com seu livro Investigação e Perícia Forense Computacional. Na tensão da preparação para o Phase I do EnCE, não consegui dar a merecida atenção ao livro, ate sexta feira passada =)

Muito bem escrito e dando um excelente embasamento jurídico a cada tópico abordado, o livro aborda temas muito interessantes, como o processo investigativo, como é o trabalho de um perito, traz também estudos de casos e apresenta as mais famosas ferramentas utilizadas por profissionais de computação forense, tanto as comerciais quanto as open source!



Raffael Vargas também é colunista do site iMasters e alguns dos seus artigos já foram plagiados nos primórdios deste blog =)

O livro foi publicado pela Brasport e recomendo aos interessados correr, pois está em promoção por tempo limitado!

Friday, January 7, 2011

aniversário do blog!

Hoje o brazil forensics blog está em festa! A exatamente um ano comecei a escrever para este blog!!


Com o objetivo de trazer informações sobre computação forense e segurança da informação, já foram mais de 100 posts e mais de 13.000 page views! Os dados da StatCounter abaixo não me deixam mentir. É perceptível o aumento do número de leitores deste blog:





Neste primeiro ano, o blog foi reformulado algumas vezes para facilitar a navegação e ganhou uma interface mais limpa e leve. Os posts do blog já foram comentados em outros sites internacionais, inclusive o ForensicKB, referencia mundial no assunto!

A mim, só resta agradecer aos leitores e colaboradores deste blog!



Meus mais sinceros agradecimentos!

Thursday, January 6, 2011

Testking & Braindumps... Até que ponto as certificações são éticas?

Recentemente estava me preparando para o exame do EnCE, quando um leitor deste blog, com a melhor das intenções, me encaminhou alguns PDFs com simulados para este exame, inclusive me afirmou que estudou por eles para a primeira fase do exame e foi de grande valor.


 





Não vou ser cínico, no primeiro momento eu fiquei muito entusiasmado com a notícia, mas depois me lembrei de uma discussão que tive a algum tempo atrás com um amigo quando revelei minhas intenções de me tornar um CISSP: certificação não vale nada...

Bom, que o Testking ajuda para os exames, isso não resta dúvida. As questões a serem discutidas são:
- "É ético ter acesso a praticamente as questões do exame, antes da prova?"".
- "Isso não é o mesmo do que colar??"".
- "Posso confiar em um profissional que faz isso??".

Não tenho a pretensão de ter a razão absoluta em nenhuma destas questões. Apenas as estou colocando estas questões para que possamos discuti-las. Acho válido discutir estas questões e ter a opinião de todos os leitores daqui do blog.

Pense na sua consciência: vai utilizar os TKs e BDs, ou vai pelo seu conhecimento apenas?


Wednesday, January 5, 2011

Livro: The Official EnCE, Por Steve Bunting


Post rápido do dia para quem está se preparando para o EnCE e/ou quem está interessado no livro do Steve Bunting.