Friday, March 25, 2011

Cookbook para instalação do FTK 3

Durante os treinamentos de FTK, muitas pessoas questionam o procedimento correto para instalação do FTK e seus componentes, o que é obrigatório e o que é opcional, e também a ordem de instalação dos componentes. O objetivo deste post é esclarecer todas estas dúvidas.



A instalação do FTK 3 é dividida em dois DVDs (disponíveis para download na versão mais recente através do site da AccessData).

O DVD 01 (FTK App Install.iso) trás todos os aplicativos necessários para a utilização do FTK:

  • FTK Imager: Gera arquivos de imagem a partir de HDs, pendrives, CDs...
  • Registry Viewer: Permite visualizar a estrutura dos arquivos que compõe o registro do Windows.
  • PRTK/DNA: Sistema para recuperação / quebra de senhas de arquivos protegidos por senhas.
  • CodeMeter: Componente que permite o licenciamento da solução via dongle (hard lock).
  • FTK 1.8: Versão legada da ferramenta de perícia da AccessData.
  • FTK 3: Forensic Tool Kit, ferramenta de perícia da AccessData.
    • Processing Engine: Componente responsável pelo processamento dos arquivos de evidência.
    • KFF: Know File Filter, é um banco de hash sets que classifica arquivos das imagens do caso em duas categorias (AD_alert e AD_ignore) para auxiliar o processo investigativo.
  • Language Selector: Utilitário que altera o idioma das ferramentas após a instalação.
  • License Manager: Utilitário que gerencia as licenças disponíveis no dongle.


O DVD 02 (Oracle DB Install.iso) trás uma versão customizada do Oracle 10g para ser utilizado pela solução, um script para otimização da instalação do Oracle (tunning do banco) e um pacote de patches e hot fixes do Oracle.

Primeiros passos

Uma das características do FTK é a modularidade da solução: PRTK para quebra de senhas, Imager para o processo de cópia e criação de arquivos de imagens de evidências e o Oracle. Para este post, vou assumir que todos os componentes da solução serão instalados na mesma máquina.



Dependências
  • Registry Viewer: requer CodeMeter (licenciamento)
  • PRTK / DNA: requer CodeMeter (licenciamento)
  • FTK: requer Oracle e CodeMeter (licenciamento)
  • Imager: não há dependências

Instalação

Para este cookbook de instalação, vou seguir a sequência que eu acredito ser a melhor, baseada na minha experiência.

Vamos começar com o DVD 02, a instalação do Oracle: após a inserção do DVD na unidade, o autorun do instalador será acionado e surge uma janela com três opções:

  • Install the Database: Realiza a instalação do Oracle 10 na estação de trabalho
  • Optimize the Database: Realiza um ajuste fino (tunning) do Oracle baseado no perfil de hardware da máquina que está rodando o banco de dados (memória, processador, disco...)
  • Install Database update patches (recommended): Realiza a instalação de patches e hot fixes na instalação do Oracle.




Instale todas, nesta sequência. O script para otimização do banco de dados Oracle será executado bem rápido, mas a instalação dos patches de correções demora mais do que a própria instalação do banco.

Com o Oracle instalado e atualizado, agora é hora de trocar o DVD da unidade, inserindo desta vez o DVD 02, com as aplicações da solução. Feito isso, o autorun irá carregar a janela de instalação do FTK e outros componentes do sistema.


Dentre as opções, estão a instalação do FTK, instalação do Serviço de Processamento Distribuído, acesso à documentação e instalação de outros produtos. Vamos iniciar pela instalação destes produtos adicionais. Selecionando esta opção, abre-se uma outra janela, onde é possível selecionar quais componentes serão instalados.


Nesta janela iremos instalar, nesta ordem: CodeMeter, Registry Viewer, PRTK e FTK Imager. Provavelmente o PRTK irá informar que requer o CodeMeter instalado para ser utilizado, ele não consegue detectar a instalação já executada deste componente =)

Após a instalação de todos estes componentes, voltamos a tela inicial e então selecionamos a opção para instalação do FTK. Surge então uma tela com uma mensagem em destaque informando que a instalação do Oracle é necessária para darmos sequência a nossa instalação. Como este foi o primeiro item instalado, vamos ignorar esta mensagem e selecionar qual a versão do sistema operacional utilizado, se 32bit ou 64bit.


Selecionado a versão do sistema operacional, o assistente de instalação nos brinda com mais cinco passos para finalizarmos a instalação do FTK.


Novamente uma mensagem nos alerta dizendo que a instalação deverá ser feita na ordem indicada, caso contrário a instalação não será bem sucedida. Os passos são (na sequência):

  1. Instalação do CodeMeter: desnecessário, pois já está instalado
  2. Instalação do Processing Engine: responsável pelo processamento das evidências do caso.
  3. Instalação da interface de usuário do FTK: dispensa comentários =)
  4. Executar o FTK: importante para inicializar o banco de dados Oracle
  5. Instalar o KFF.

Após a instalação destes componentes, o FTK estará ansioso para devorar arquivos de evidência e devolver os relatórios dos casos.

Conclusão

Da forma como foi feito aqui, evitamos de trocar de DVD (se começar pelo DVD 01, instalará os Other Products e antes de instalar o FTK deverá instalar o Oracle do DVD 02) e eliminamos o risco de esquecer algum componente fundamental para a execução do FTK.

Basicamente, a instalação do FTK se resume em:

  1. DVD 02 - Database:
    1. Instalação do Oracle
    2. Otimização do Oracle
    3. Atualização do Oracle
  2. DVD 01 - App Install:
    1. Instalação do CodeMeter
    2. Instalação do Registry Viewer
    3. Instalação do PRTK
    4. Instalação do FTK Imager
    5. Instalação do FTK
      1. Instalação do FTK Processing Engine
      2. Instalação da interface do FTK
      3. Instalação do KFF (após a primeira inicialização do FTK)

Recomendo muito a leitura do post sobre otimização do FTK para os interessados nesta solução.

[]s

Thursday, March 24, 2011

Recuperando arquivos EFS com FTK/PRTK

Algumas pessoas utilizam a criptografia do NTFS para armazenar informações e aumentar o nível de segurança do acesso. Esta criptografia, chamada Encrypted File System (ou simplesmente EFS), é boa para os usuários pois eles não tem que memorizar uma senha nova: o Windows utiliza a própria senha de login como chave de criptografia para os arquivos. Então, para acessar estes arquivos criptografados, o processo é fácil: basicamente, quebre a senha do windows e ganhe acesso aos arquivos.

 Neste post, vou falar sobre este processo utilizando uma metodologia forense para acesso a estes dados.


Introdução
Em sistemas Windows 2000 e Windows XP, o sistema da Microsoft de criptografia de arquivos (EFS) permite criptografar um único arquivo todos os arquivos salvos em uma pasta específica. O usuário não tem que se lembrar de senhas, pois o Windows criptografa os dados usando sua senha de logon.

Recuperando senhas EFS
Se durante a investigação o examinador encontrar arquivos EFS, este deverá exportar os arquivos de registro da SAM e SYSTEM utilizando o Imager ou o FTK, e então importar estes arquivos para o PRTK para obter a senha de login do Windows. Após conseguir a senha, deverá voltar ao FTK e recuperar os arquivos EFS pela interface do FTK.

Passos para recuperação de arquivos EFS:


1) Exportar os arquivos de registro SAM e SYSTEM pelo Imager


2) Iniciar o PRTK (no meu caso, estou utilizando o DNA, são a mesma ferramenta)


3) No PRTK, adicionar o arquivo SAM e, quando solicitado, informar o local do arquivo SYSTEM quando o SYSQUEY for solicitada.






Após recuperar a senha, voltar ao FTK, selecionar o menu Tools, opção Decrypt Files e então informar as senhas recuperada pelo PRTK




Clicar em OK e então o FTK irá instanciar o PRTK para descriptografar os arquivos EFS.






Caso a senha encontrada pelo PRTK seja válida, o FTK irá descriptografar o conteúdo do arquivo. Caso contrário, a senha de login possivelmente foi alterada após a captura dos arquivos ou a senha recuperada é de outro usuário que não o proprietário do arquivo encriptado com EFS. Se uma máquina é compartilhada com mais de um usuário, é importante obter a senha de todos os usuários, a fim de aumentar a chance de obter acesso aos arquivos encriptados.

Os arquivos decriptados aparecem na guia Overview, seção Decrypted Files:



É importante observar que certos tipos de arquivos não podem ser encriptados com EFS:
•  Arquivos de sistema
•  Arquivos com compressão do NTFS
•  Arquivos em %Systemroot% ou subdiretórios

Maiores informações sobre recuperar senhar com o PRTK aqui.
Maiores informações sobre EFS no site da Microsoft.

Update 24/03: Adicionado print das telas do tutorial.


Update 18/09: Informações Úteis!


O Thiago precisou recuperar alguns arquivos criptografados com EFS, mas que estavam armazenados em um HD externo e ele já não tinha a máquina original contendo o sistema operacional original. Após entrar em contato com o suporte da AccessData, eis a resposta:


In order to decrypt files encrypted using EFS you will need an E01 or DD image with the following:

- The EFS-encrypted files, imaged in a way that preserves the $EFS = alternate data streams and their logical links to the encrypted files (usually a physical image)
- The user's 'Crypto' folder ( "C:\Documents and Settings\[USERNAME]\Application Data\Microsoft\Crypto" or "C:\Users\[USERNAME]\AppData\Roaming\Microsoft\Crypto")
- The user's 'Protect' folder ( "C:\Documents and Settings\[USERNAME]\Application Data\Microsoft\Protect" or "C:\Users\[USERNAME]\AppData\Roaming\Microsoft\Protect")

You will also need to know (or find) the user's Windows password.

If you only have an image of the user's external drive and not an image of the user's OS drive (or above listed files), then you will not be able to decrypt the files.

Sunday, March 6, 2011

Colisão MD5


Basicamente, colisão de hash é uma situação que ocorre quando dois arquivos distintos tem o mesmo valor de hash. A probabilidade de que haja uma colisão de hash é maior quando utilizamos MD5, pois o tamanho do valor gerado é menor:


MD5("") = d41d8cd9 8f00b204 e9800998 ecf8427e
SHA1("") = da39a3ee 5e6b4b0d 3255bfef 95601890 afd80709
SHA256("") = e3b0c442 98fc1c14 9afbf4c8 996fb924 27ae41e4 649b934c a495991b 7852b855



Há uma vulnerabilidade no algorítimo do MD5 que permite ao atacante "forjar" uma colisão de MD5, modificando um arquivo original e gerando para este arquivo resultante o mesmo hash do arquivo original.
Então fica a pergunta: SHA1 é a solução?? Bruce Schneier diz que não.

Uma "solução de contorno" seria utilizar ambos algoritmos para o mesmo arquivo: MD5 e SHA1, pois, mesmo que haja manipulação do arquivo e a "maracutaia" para colisão do MD5 seja aplicada, o SHA1 será alterado e evidenciará o ataque.

Maiores informações sobre o assunto:

Saturday, March 5, 2011

Mudança nos Cenários em Computação Forense 2005-2010

Neste feriadão de carnaval, tomo a liberdade de replicar aqui no blog o excelente texto do meu amigo Rodrigo Antão:


Desde 2005 eu não havia observado um ano de crescimento de demandas para a área de forense computacional como neste ano de 2010. Este aumento de movimentação no mercado nos traz questionamentos por parte de clientes, estudantes e parceiros sobre pra onde estamos caminhando. 
Escrevo este artigo para expor algumas opiniões sobre o que vem pela frente na área da forense computacional. Apesar de o assunto futuro, sob ponto de vista tecnológico, deva ser algo medido em períodos de 2 anos tamanha inovação existente neste meio. É pouco provável que se possa antever o que podem surgir de novas tecnologias que demandem novas técnicas de coletas forenses.

ARTIGO
Em uma análise de alguns cenários de investigação de meios digitais de 2005 a 2010 torna-se claro o tamanho do problemas que empresas e governos terão para processar grandes massas de dados em investigações e perícias. 
Estes dados não são científicos, eles partem de experiências de campo e dados de mercado sobre crescimento dos discos no tempo. 
A Lei de Moore incide sobre o crescimento da capacidade dos discos, mais informações aqui
Abaixo seguem alguns números que ilustram um ambiente de investigação corporativa envolvendo uma pequena área de negócios. Esse cenário é comum em situações onde há alguma denúncia envolvendo um fato e um grupo de pessoas que poderia ter acesso ao mesmo. 
O escopo comparativo tem 10 máquinas como alvo de análise, considerando o tempo de processamento médio de 1,5 GB por hora e considerando 24 horas úteis de trabalho por dia.
Cenário de investigação - 2005
•10 máquinas X [40 ~ 80] GB (média 60 GB) = 600 GB
•Duplicações acontecendo a 4 GB/min = 150 Min = 2:30 hs
•Tempo para análise + relatório = Média 1,5 GB/Hora = 400 Horas
•Tempo total entre a coleta + análise + relatório = 402 horas = 17 dias
Cenário de investigação - 2010
•10 máquinas X [500 ~ 1000] (média 750 GB) = 7500 GB = 7,5 TB
•Duplicações acontecendo a 6 GB/min = 1250 Min = 20 hs
•Tempo para análise + relatório = Média 1,5 GB/Hora = 5000 Horas
•Tempo total entre a coleta + análise + relatório = 5020 horas = + 6 meses
Notem que o tempo para análise e relatório mantém a mesma média. O motivo é simples: esta tarefa precisa de contextualização, interação humana. Por mais automatizadas que as ferramentas hoje estejam, a revisão dos resultados ainda precisa ser feita por um analista que saiba dados do caso em questão.
O aumento do esforço total para entrega de um relatório forense aumentou 1.150% em 5 anos.
Seguindo esta mesma média, para 2015 teremos o seguinte cenário:
Cenário de investigação Hipotético - 2015
•10 máquinas X [6250 ~ 12500] (média 9375 GB) = 93750 GB = 93,7 TB
•Duplicações acontecendo a 9 GB/min = 1041 Min = 17 hs
•Tempo para análise + relatório = Média 1,5 GB/Hora = 62500 Horas
•Tempo total entre a coleta + análise + relatório = 63541 horas = + 87 meses = 7,5 anos 
Obviamente estes números consideram pesquisas massivas com complexidade de palavras-chave, consultas por hash e assinaturas de arquivos e discos com bastante informações. 
Investigações mais simples, com escopo bem dimensionado, gastariam muito menos tempo. 
Uma pesquisa recente da FEBRABAN (http://bit.ly/cFL3uW) nos retorna dados sobre o ambiente computacional dos bancos do Brasil que nos levam na mesma direção: o volume de dados passíveis de investigação está beirando o INADMINISTRÁVEL. 
De acordo com os números da Febraban o ambiente de discos dos bancos aumentou no período de 2005-2009:
•Discos: 576%.
•Estações de Trabalho: 29,7%
•PDA/Blackberry/Assemelhados: 859% 
A pesquisa da Febraban também ilustra outro paradigma que as áreas de investigação estão enfrentando, e que começou apenas em 2005: o aumento da mobilidade de conexão, com o uso de Smartphones e co-relatos. 
O uso de Smartphones está levando mais informações passíveis de análise para o meio remoto. 
Profissionais que ficam grande parte do tempo fora dos escritórios utilizam seus telefones como o meio primário de interação com o mundo virtual. Logo se torna cada vez mais inócuo procurar apenas em estações de trabalho ou notebooks. Um email que foi lido e apagado durante o trânsito de um profissional não estará em nenhum disco rígido sob posse deste usuário. 
Estes novos pontos de coleta precisam ser contemplados em todo mapeamento de investigação.  
Um usuário médio hoje possui como fontes de dados os seguintes locais: 
Notebook pessoal
•Email offline/online Pessoal
•Navegação na Internet
•Redes Sociais (mensagens, emails, chat e video) 
Estação de Trabalho Corporativa
•Caixa de Email Corporativa
•Navegação na Internet
•Redes Sociais (mensagens, emails, chat e video) 
Telefone Celular/Smartphone
•Acessando caixas postais corporativas e pessoais
•Navegação na Internet
•SMS e Ligações Telefônicas armazenadas na Operadora de Telefonia
•Video Mensagens (3g, 4g, Wimax)
•Redes Sociais (mensagens, emails, chat e video) 
O mais assustador é que empresas ainda buscam investimentos em forense computacional baseado nos cenários estáticos de 2005! 
Num excelente artigo escrito pelo senhores José Helano Matos Nogueira e Joaquim Celestino Júnior entitulado “Autonomic Forensics a New Frontier to Computer Crime Investigation Management”, em tradução livre Forense Autônoma uma Nova Fronteira para o Gerenciamento de Investigação de Crimes Computacionais, são citados como desafios que acometem profissionais de computação forense:
1.Falhas de software frequentes e recorrentes das aplicações críticas para computação forense, devido à incompatibilidade dos dados, arquivos, erros ou protocolos de rede. 
2.Prazos mais longos para o pessoal forense para resolver os problemas listados no item 1. 
3.Aumento significativo dos orçamentos de TI/Forense, incluindo hardware, software, custos homem/hora, treinamento e suporte. 
4.Aumento do nível do outsourcing de aplicações. 
5.A alta rotatividade de pessoal forense crítica devido à frustração, longas horas, e burnout. 
6.Surpresas inesperadas em novas tecnologias, novas linguagens, ou aplicação, levando ao aumento do tempo necessário na compreensão e gestão de projetos que envolvem estas soluções 
7.Prazos mais longos para testar e instalar de forma satisfatória novos aplicativos ou pacotes de software. 
8.Crescimento do custo e hardware e software em TI/Forensics. 
9.Incompatibilidade entre fornecedores concorrentes de pacotes de software, por exemplo: estrutura de arquivo, bancos de dados e parâmetros, devido à falta de normas. 
10.Freqüentes, mas necessárias atualizações de software, para ferramentas forenses e sistemas operacionais, resultando em mais uma rodada de erros e problemas com incompatibilidade. 
Com o aumento do volume aliado ao aumento da complexidade temos a hecatombe que acomete os profissionais da área: até quando vamos permanecer sem times estruturados para cuidar de investigações digitais. Estruturados com as pessoas certas, os processos corretos e os sistemas mais eficazes para estas tarefas hercúleas.

Rodrigo Antão - http://www.rodrigoantao.com - É especialista em Segurança da Informação, Computação Forense, Anti-fraude e eDiscovery. É certificado no uso das seguintes tecnologias: ACE (Accessdata Certified Examiner); EnCE (Encase Certified Examiner); MCSA 2000/2003 (Microsoft Certified Systems Administrator); MCSE 2000 (Microsoft Certified Systems Engineer) e MSF Practitioner (Microsoft Solutions Framework Practitioner).

Friday, March 4, 2011

[Evento] - Web Security Forum - 09 e 10 Abril em SP


Gostaria de estender um convite que me foi feito: Dias 09 e 10 de Abril acontece em São Paulo o Web Security Forum, voltado à área de Segurança da Informação na Web. Durante o evento serão discutidos temas atuais como Cloud Computing, Web Aplication Server, Web Appplication Firewall, Virtualização de Ambientes, Vulnerabilidades, Testes de Intrusão, Técnicas Hackers, o Perfil do Profissional de TI brasileiro.


Maiores informações e inscrições no site do evento.

Encontro vocês por lá!  =)

Tuesday, March 1, 2011

Malware para usuários de OS X

Até parece que foi ontem.. E foi mesmo =)

Enquanto falávamos da segurança do OS X aqui no blog,  pesquisadores da empresa de segurança Sophos identificaram um novo malware que visa usuários deste sistema.

Identificado como BlackHole RAT, o malware é um cavalo de troia e é uma variante de um conhecido trojan para Windows, o darkComet.




A Sophos, porém, reconhece o malware pelo nome de “OSX/MusMinim-A”, pois o nome BlackHole já é utilizado por uma aplicação legítima para Mac, responsável por melhorar a segurança nos computadores da Apple.

De acordo com a Sophos, o MusMinim é um trojan básico, mas ainda se encontra em desenvolvimento, aparentando usar uma interface mista em inglês e alemão.

Entre as funções do trojan estão inserir arquivos de texto no desktop, enviar comandos de reiniciar e desligar, executar comandos, inserir mensagem em tela cheia que só desaparece ao clicar no botão reiniciar, entre outros.



O trojan pode ser instalado na máquina da vítima ao utilizar alguma vulnerabilidade do browser, plug-ins ou aplicações. O uso de softwares piratas e download em sites torrent também estão entre as causas da propagação do malware.

A empresa recomenda que os usuários infectados tentem realizar uma varredura na máquina, e que atualize os programas instalados em seu Mac OS X. Confira vídeo que exibe o malware em ação:






Via InfoExame.



[Update 01/03/11]:  A Apple já está trabalhando para sustentar o título de SO mais seguro e está convocando especialistas em segurança para examinar Mac OS X Lion. Maiores informações aqui.

Novo "encurtador" de URLs

Desde que nossos pensamentos online começaram a sofrer com o limite dos 140 caracteres, os serviços para encurtar URLs, como o TinyUrl e o Bit.ly, ganharam visibilidade. De tão populares, os compressores foram incorporados até no expediente de crackers, que usam os endereços mascarados para repassar vírus. Mas até para isso já criaram uma solução: o Untiny, um ‘desencurtador’ de URLs.



Numa completa falta do que fazer, resolvi criar meu próprio encurtador de URLs. Bazzinga =)

Quem me segue no Twitter talvez percebeu que, recentemente, todos os meus tweets estão utilizando o serviço 4n6.cc, um encurtador de URLs focado em computação forense. O nome é um jogo de palavras inspirado no blog do meu amigo Alexandre Teixeira, o Foren6.

Por hora, não será um serviço público. Estou fazendo alguns testes com a solução YOURLS, um encurtador open source. Ele é muito simples e tem uma interface gerencial incrível, me permitindo visualizar quantos clicks um link teve, a origem destes links. Muito bacana mesmo.