Monday, February 28, 2011

Passwords are like underwear



As melhores definições, esta imagem deveria ser utilizada em qualquer campanha de conscientização de usuários!

Totalmente off-topic, mas eu tinha que postar essa imagem no blog antes de dormir =)

Sunday, February 27, 2011

Dicas para ganhar tempo com o FTK

A instalação do FTK é muito simples, ninguém pode negar. São muitos componentes, cada qual com um setup diferente: Oracle, CodeMeter, Processing Engine, FTK e outros, mas ainda assim simples: Next, Next, Finish para uma instalação padrão.




Eu vejo muitas reclamações de performance do FTK que simplesmente não são problemas do FTK: máquinas mal dimensionadas, muitos processos concorrentes, discos lentos... Lembre-se, o FTK é uma solução robusta que merece ser tratado como tal. Pagar caro em uma licença de um FTK e economizar no hardware é algo que não dá para entender.

A questão é que com a instalação padrão, a performance da ferramenta pode não ser a esperada para uma solução deste porte. Neste post, vou passar algumas dicas para otimizar a performance do FTK e ajudar assim quem estiver sofrendo com a lentidão durante a investigação.


A peça fundamental do FTK é o Oracle, e o grande vilão deste componente é o acesso ao disco. O Oracle pode estar instalado corretamente, mas compartilhar o mesmo volume do banco de dados com arquivos de evidências pode ser um grande problema devido à concorrência dos processos no acesso ao disco.


É possível distribuir a instalação do FTK entre duas máquinas, dedicando uma máquina para o Oracle database e outra máquina para a interface gráfica (GUI) do FTK e o Worker (processing engine).

Uma configuração IDEAL para execução do FTK/Oracle na mesma máquina é:

  • Processador Intel Dual Quad Core XEON, 
  • Sistema Operacional 64bit, 
  • 16GB de memória RAM, 
  • discos de 15.000RPM com pelo menos 2TB de espaço,
  • RAID1 para o SO 
  • RAID0 (de pelo menos 4 discos) para Dados: Oracle, Caso, Evidência.


Instalação do Oracle


  • Após instalação padrão do Oracle, executar o script "Optimize Database" (fornecido com a mídia de instalação do banco de dados). Maiores informações sobre este script aqui.
  • Na documentação online do Oracle, há uma seção dedicada a otimização do sistema de banco de dados instalado no Windows.
  • Para um melhor desempenho, opte sempre por um disco (ou um array de discos) de alta performance, como discos de 10.000RPM pelo menos.
  • O banco de dados Oracle e os arquivos de índice devem possuir um RAID próprio, separado do sistema operacional. A configuração ideal é um RAID0 com pelo menos 4 discos de 15.000RPM.
  • Um disco de 10.000RPM apresenta um desempenho ligeiramente melhor do que dois discos de 7.200RPM em RAID0. Um disco de 15.000RPM garante um desempenho praticamente identico a um RAID0 com dois ou três discos de 7.200RPM. Claro, com RAID0 não há tolerância a falhas, sugiro uma solução de backup do Oracle para resolver esta questão.
Outras dicas
  • Se o Sistema Operacional estiver sendo executado em um disco de 7200RPM, reduza o tamanho do pagefile deste disco e crie um pagefile no disco em RAID.
  • Dúvida comum: Corrupção de dados em RAID: Corrupção de dados em RAID podem ocorrer com uma frequência um pouco superior quando comparado com discos stand alone, mas isso pode ser resolvido utilizando uma boa placa controladora de RAID: pelo menos 256MB de cache e que seja equipada com uma bateria de backup. Pela minha própria experiência de infraestrutura, sugiro uma controladora da ADAPTEC, que são utilizadas em servidores de missão crítica. Claro que há modelos mais acessíveis ($$$).



  • Se for instalar um anti vírus na máquina, é extremamente recomendado que os diretórios do banco de dados Oracle, diretório TEMP do FTK e diretório de evidências sejam excluídos da verificação do sistema de anti vírus.
  • Ao trabalhar um caso com múltiplas imagens (sejam elas E01, DD ou AFF...), o índice ficará maior e o acesso aos dados pode ser prejudicado. Prefira dividir as imagens em casos menores, trabalhando assim com uma massa de dados reduzida e agilizando algumas tarefas como indexação e busca.
  • Desabilite a indexação do sistema operacional (habilitada por default) e não utilize compressão do NTFS para os diretórios do banco de dados Oracle, TEMP do FTK, diretório de evidências e diretórios de instalação dos aplicativos. Lembre-se: compactação de dados pode onerar o processamento da máquina.
  • Mais dicas de otimização do Windows no site da Microsoft.



Memória RAM


Uma dúvida muito comum é com relação a quantidade de memória RAM para uma máquina destas. Há uma conta simples para cálculo de memória RAM: Para melhor desempenho, recomendo utilizar um mínimo de 2GB para cada núcleo de processador:

  • Core2Duo (2 núcleos) - 4GB RAM (mínimo); 
  • Core i5 (4 núcleos) - 8GB RAM (mínimo).



Opções de processamento


Se ainda assim você achar que o desempenho da máquina não ficou satisfatório, ou não for possível configurar uma máquina com o perfil de hardware que traçamos aqui, você ainda pode desabilitar algumas opções de processamento das evidências do caso. O gráfico abaixo mostra a diferença de tempo de processamento de evidências





Fontes:

Os dados aqui apresentados são uma síntese das informações destes documentos oficiais da AccessData. Recomendo muito a leitura destes documentos para quem quiser dimensionar uma máquina perfeita para o FTK:

Saturday, February 26, 2011

Os Macs são mais seguros?

Meu primeiro computador foi um Macintosh Performa 6230CD, o qual a princípio eu não gostei muito por não conseguir rodar os "disquetes da aulinha de informática"...

Há, me lembro como se fosse ontem...

O tempo passou e desde então virei um Macmaníaco assumido: além de manter meu velho 6230 rodando, atualmente sou dono de um iPhone, um iPad e estou namorando um MacBook Pro. Mas eu contei esta historinha para introduzir o assunto: navegando por algumas notícias hoje, me deparei com um histórico de reportagens no mínimo interessante:
Perceberam o time line? Desde muito tempo que gurus e videntes da TI prevêem problemas de segurança para o mundo Mac, no entanto, nada grave acontece! O próprio site da Apple destaca este aspecto sobre a segurança do seu sistema OS X com relação ao Windows.


Não vamos nos iludir: É claro que existem pragas virtuais que atingem os usuários de produtos da Apple. Eu mesmo já tive meu iPhone atacado por uma praga virtual, mas o iPhone estava com jailbreak, o que derruba os principais recursos de segurança do aparelho, mas não me lembro de ouvir falar de um 0-day para OS X (please, corrijam se eu estiver errado!). Acredito que esta questão de vírus para o OS X não está relacionada ao pequeno número de usuários deste sistema, que já não é tão pequeno comparado com os números de alguns anos atrás. Bem, eu penso diferente.... =)


Para mim, a questão do OS X é simples: um sistema UNIX robusto e estável rodando a pleno vapor atrás de uma interface gráfica fantasticamente simples e fácil seria um ambiente perfeito para proliferação de usuários "domésticos", mas como os usuários "domésticos" ainda preferem micros com Windows, seja por que é o ambiente ao qual estão acostumados no trabalho ou é o sistema que fizeram um cursinho de micro informática a alguns anos, ou até mesmo a questão do preço (sim, os Macs são muuito mais caros...), estes usuários "domésticos" não usam Macintosh. Lembre-se de que estes usuários, os usuários "domésticos", é que são os grandes alvos das pragas virtuais: phishings, trojans e keyloggers bancários, por exemplo. Para estes usuários, não há patches de segurança =)

O fato é que quem compra um Mac hoje, aquele estereótipo de quem fica dias na fila de uma Apple Store aguardando o "dia D", sabe que um e-mail do SERASA ou do Banco Itaú solicitando para atualizar o cadastro de segurança são fakes e logo os deletam. São usuários mais maduros e conscientes com relação aos riscos de internet, o que não os torna alvos fáceis.

Claro, toda regra tem uma exceção, mas em uma comunidade de usuários onde a grande maioria conhece os riscos e problemas da internet, criadores de malwares tem um problema com a disseminação das pragas. Há, outra questão, ainda falando do UNIX: o proprietário de um Mac tem um ambiente perfeito para rodar Metasploits, NMAPs e outras brincadeiras de forma nativa, e na mesma máquina, ainda é possível sincronizar os emails com o Exchange e abrir um documento do Word 2010 (.DOCX). É a máquina ideal para diversão e trabalho =)

E antes que alguém comente: no Linux é diferente... E dá mais trabalho, estou ficando preguiçoso velho... Uso o Ubuntu, mas não vou comentar...

Bom, isso é o que eu penso.

Thursday, February 24, 2011

Trustwave: soluções completas para compliance e security


Para o mercado brasileiro, a Trustwave ainda é uma solução pouco conhecida e de difícil compreensão, quando apenas observamos a imagem ilustrativa que compete às suas soluções de security e compliance. Nem todos se sentem a vontade ao se deparar com uma tabela periódica, não é mesmo?
Para quem ainda não conhece, a Trustwave é o fornecedor líder em serviços sob demanda, segurança de dados e cartão de pagamento da indústria de soluções de gestão de conformidade para empresas e organizações em todo o mundo, e conta com sua sede em Chicago, e  escritórios na América do Norte, América do Sul, Europa, África, Ásia e Áustria.
A Trustwave abrange as mais diversas necessidades de conformidade e segurança da informação, comoAssessment (AS)Governança e Gerenciamento de Riscos e Conformidade (GRC)Web Site Seal (WS)Report on Compliance (ROC)CriptografiaCertificados Digitais (SSL)Controles de Acesso à Rede (NAC), entre outras.
Aqui no Brasil, a empresa Braspag, líder em soluções de pagamento e serviços financeiros para e-commerce com 75% de market share no Brasil, é o  primeiro gateway de pagamento brasileiro a ser auditado pela Trustwave. O contrato foi fechado para que a Braspag recebesse a nova certificação PCI DSS – 1.2 Level 1 – selo que valida os padrões de segurança de empresas do setor de cartões e processamento de pagamentos.


Trustwave tem ajudado milhares de organizações, que vão desde empresas da Fortune 500 e grandes instituições financeiras às pequenas e médias empresas varejistas, a gerenciar a conformidade e assegurar a sua infraestrutura de rede, comunicações de dados e os ativos de informação críticos.
Via Inspirit.

Monday, February 21, 2011

Evento aborda segurança nos sistemas de cartões de pagamentos

Evento gratuito pela Web, realizado pela Trustwave será apresentado em português e irá abordar os últimos avanços do padrão PCI-DSS.
O SpiderLabs,  laboratório global da Trustwave dedicado a testes e monitoramento de vulnerabilidade em sistemas de segurança da informação e incidentes em redes de negócios, irá promover dia 22 de fevereiro próximo um seminário gratuito via internet (webinar) para divulgar as novas atualizações do Padrão PCI DSS para a segurança nos sistemas de cartões de pagamento.


A apresentação, que terá duração aproximada de uma hora, irá revelar as principais mudanças da nova versão do Padrão PCI DSS, e quais os impactos que elas terão sobre as estruturas de transação do setor e sua conexão com o varejo. Ainda durante o evento online, técnicos do SpiderLabs irão responder a perguntas de profissionais, analistas e especialistas da área sobre como desenvolver ambientes compatíveis com a exigência do Padrão PCI-DSS.
De acordo com Jarrett Benavidez, diretor da Trustwave para a América Latina, a aderência ao PCI-DSS vem crescendo rapidamente na industria de pagamentos do País, mas ainda há muita carência de informação, tanto por parte do comércio quanto por parte dos operadores de redes de captura e dos operadores de cartões. “A Trustwave está empenhada em ajudar a avançar a discussão desse modelo no País e apresentar ao mercado nossas soluções de tecnologia e serviços de auditoria que propiciam um rápido acesso às certificações de compliance”, assinala o executivo.
O Webinar PCI DSS 2.0 interessa a CIOs, CSOs, analistas de segurança e técnicos em redes em geral.
As inscrições são gratuitas e devem ser feitas através do link: Registre-se aqui

Friday, February 18, 2011

Utilizando CUDA para p@ssw0rd cracking

Um fato que vem acontecendo já a algum tempo é a evolução das placas de vídeo. Impulsionada pela indústria de games, as placas de vídeo com seus poderosos processadores e uma quantidade imensa de memória deixaram os processadores dos computadores comendo poeira a bastante tempo. CUDA é a arquitetura de computação paralela da NVIDIA que possibilita aumentos significativos na performance de computação pelo aproveitamento da potência da GPU (unidade de processamento gráfico).


Veja na imagem acima a comparação entre um processador como o Dual Core e o processador usado em uma placa de vídeo como a Geforce 8800. Ela possui até 128 núcleos.. é como se tivéssemos 128 processadores em paralelo, contra apenas 2 do Dual Core.

E claro que nós, escovadores de bits ávidos por um poder de processamento maior podemos tirar vantagem desta tecnologia para, digamos, dirty jobs...

A DigitalIntelligence desenvolveu o FRED SC para executar uma atividade: quebra de senhas.

FRED SC

Utilizando não apenas uma, mas QUATRO placas de vídeo NVIDIA GTX 480, chegamos ao ignorante número de 1920 núcleos esperando para serem utilizados, o que nos dá um poder de 4.769 TeraFlops de performance (4769 GigaFlops).

Você consegue imaginar este poder todo aplicado a quebra de senhas? Para facilitar, vamos analisar alguns gráficos:

PS: os gráficos são referentes ao modelo anterior do FRED SC, que utilizava quatro placas de vídeo NVIDIA GTX 295. Os resultados atuais são bem mais agressivos!



Bruto não? Maiores informações no site da Digital Intelligence.

Comparativo soluções mobile forensics

Já escrevi alguns artigos neste blog sobre os desafios da forense em dispositivos mobiles, e agora volto a falar sobre o tema. Desta vez trago um comparativo que eu fiz entre XRY e UFED.


               

  

Ambos os produtos vem com uma maleta de transporte bem resistente e um conjunto de cabos para suportar todos os aparelhos compatíveis.

 Escolhi estes dois produtos por alguns motivos, dentre os quais destaco os principais:
  • XRY e UFED não são os produtos, são as empresas. Explico melhor: o core business destas empresas são estes produtos, diferente da AccessData que tem o MPE ou Guidance Software que tem o EnCase Neutrino, além de toda uma gama de produtos para computação forense. MSAB e Cellebrite não são empresas de forense, são empresas de mobile forense. Resumindo: FOCO
  • São os produtos que estão a mais tempo no mercado de mobile forense, estão bem maduros
  • Eram os equipamentos que eu tinha em mão =)
Como é um teste comparativo, primeiro vamos definir alguns itens, como objetivo e regras:
  • Objetivo: capturar as informações lógicas de um Motorola RAZR V3xx. 

  • Regras do jogo:
    1. Escolha de um aparelho celular "popular" (Motorola V3) que ambos os dispositivos declaram capturar dados (lógico e físico)
    2. Não vou realizar dump físico, apesar de ambos os equipamentos suportarem esta função para este aparelho celular. Apenas uma captura de dados lógico;
    3. Ambos os dispositivos foram configurados para detectar automaticamente o aparelho celular
    4. O aparelho celular já está plugado no dispositivo com o cabo correto
    5. O aparelho celular já está ligado, código PIN introduzido e sem bloqueio de segurança definido
    6. Quero capturar todas as informações possíveis do telefone celular, via captura de dados lógico.
    7. Para qualquer "questão de múltipla escolha" que apareça, selecionarei a opção default apresentada pelas soluções.
Quero lembrar também que o objetivo deste post não é ser um comparativo comercial. Estou analisando as ferramentas como técnico e investigador forense. Estas ferramentas podem ter limitações para alguns modelos de aparelhos celulares. Leve em consideração a matriz de compatibilidade dos fabricantes para avaliar o que melhor atende as suas necessidades. Só avalio aqui a usabilidade das ferramentas.

Vamos aos testes? Já peço desculpas pela péssima qualidade das imagens, não estava esperando pela oportunidade de realizar este teste =)

XRY                                        
Por uma questão de praticidade, o primeiro teste será com o XRY. O XRY, fornecido pela MSAB, é uma solução concebida para pericias de dispositivos móveis em laboratório forense. Para que a MSAB não fique em desvantagem com relação ao Cellebrite UFED, estou utilizando a solução para campo do XRY, o Field Version. O Field Version é um Panasonic CF-U1, uma espécie de tablet (??) rodando Windows XP com teclado físico e tela sensível a toque.

Vamos aos testes do XRY Field Version, bem passo a passo:
  1. Ligar o Field Mode
  2. Iniciar o XRY (ícone disponível no desktop)
  3. Clicar na opção "Extract Data" na barra de ferramentas
  4. Abre a janela "Welcome" informando sobre a validade da chave de licença do produto. Clicar em "Next"
  5. Conectar o telefone ao Field Version com o cabo correto
  6. Abre a janela "Select Device Type". Clicar na opção "Phone"
  7. Abre a janela "Select Identification Method". Clicar na opção "Automatic"
  8. Abre a janela “Select Connection Media”. Clicar na opção "Cable"
  9. Abre a janela "Select Connection". Confirme que o dispositivo está aparecendo clicando no ícone referente à conexão
  10. Abre a janela "Select Device". Confirme o modelo do telefone clicando no ícone referente ao aparelho.
  11. Abre a janela "Select Action". Selecionar a opção "Logical"
  12. Abre a janela "Device Overview". Clicar em "Next"
  13. Abre a janela "Process Options". Selecionar a opção "Full Read"
  14. Abre a janela "Select File". Aceite a sugestão do nome para gravação do arquivo e clicar em "Next"
  15. O processo de captura das informações inicia e, ao término da captura, é exibido a janela de "Report". Clicar em "Next"
  16. O sistema volta automaticamente para a janela "Select Action" (para uma captura física, por exemplo). Clicar em "Finish"
  17. Após, o XRY processa as informações e exibe o relatório da captura automaticamente.

UFED                                      
O UFED é o equipamento de forense para dispositivos móveis fornecido pela Cellebrite. Para posicionar o seu produto no mercado, a Cellebrite focou o equipamento para trabalhos em campo, eliminando a necessidade de um computador para a aquisição dos dados.

Vamos agora aos testes do UFED, também descrito aqui passo a passo:
  1. Ligar o UFED
  2. Selecionar “Extract Phone Data”. Pressione “OK”
  3. Conectar o telefone ao UFED com o cabo correto
  4. Pressione "V" uma vez no menu para selecionar a opção "Auto Detect". Confirme pressionando “OK”
  5. Confirme "Motorola 3Vxx" pressionando “OK”
  6. Selecionar "Source Memory" pressionando “ >”  (Next)
  7. Selecionar "Target" pressionando "V". Confirme o destino como "USB Flash Drive" pressionando “OK”
  8. Selecionar as opções desejadas em "Content type" pressionando "V" e "OK" para selecionar. 
  9. while not EOF do {
    1. Tick the box
    2. Scroll down one step } //brincadeiras a parte, não entendi o por que não deixaram estas opções marcadas por default.....
  10. Confirme que você deseja extrair todos os dados pressionando “>”
  11. O UFED informa qual o cabo deverá ser utilizado. Pressione “>”
  12. O sistema exibe algumas instruções. Pressione “V” para rolar a tela e ler a mensagem.
  13. Confirme o início da captura dos dados pressionando “>”
  14. O processo se inicia. O UFED verifica o conteúdo do telefone e exibe uma estimativa de tempo para conclusão do trabalho. Confirme a ação pressionando “>”. 
  15. O processo demorou um pouco mais que o previsto, pouco mais de 4 minutos. Pressione ">" para continuar.
  16. O relatório com as informações do celular foram capturadas para o pendrive conectado ao UFED. Para visualizar o arquivo HTML gerado, abra-o em um Internet Explorer, por exemplo.

Conclusão                                        
São dois dispositivos muito competentes e cumprem bem o trabalho a que se propuseram. O Cellebrite UFED chama muito a atenção devido a portabilidade e por dispensar o uso do computador para a captura das informações, mas esta "independência" trás também algumas limitações ao produto... Já o XRY Field Version roda sob plataforma Windows, o que parece adicionar uma inteligência ao produto, como integração com Excel e Google Earth. O XRY tem uma interface mais amigável e se mostrou mais rápido para a captura das informações dos aparelhos celulares, mas a tela reduzida do Field Version pode atrapalhar um pouco algumas operações, problema que se resolve facilmente com o "cradle" (berço, lembra-se do Palm??) fornecido com o dispositivo, transformando o equipamento em uma estação de trabalho completa: