Wednesday, August 31, 2011

[Convite] Lançamento do livro Crimes Virtuais, de Marcelo Crespo

É com grande satisfação que convido a todos os leitores do blog para o lançamento do livro - Crimes Digitais de autoria do Professor e Dr. Marcelo Xavier de Freitas Crespo, membro da Comissão de Crimes de Alta Tecnologia da OAB/SP.


Monday, August 29, 2011

AccessData lança vesão 3.4.1 do FTK

Change log em inglês:



What’s New in FTK 3.4.1?
Database and Processing Enhancements
  • FTK now ships with PostgreSQL. However it will continue to support Oracle, as well.
  • Increased overall processing performance through indexing optimizations in the evidence processing engine.
  • Define database location with PostgresSQL.
  • Archive expansion is on by default.
  • The processing engine now checks for connectivity to evidence files every 2 minutes during processing and will record any exceptions to the progress window.
  • Processing speed for EDB files has been greatly improved.
Bookmarking and Reporting
  • Reporting now has an option to keep email attachments together with parent email messages. This functionality is similar to reports generated by FTK 1.x.
  • The Bookmarks section of reports has changed to match the same tree structure created by the user in the FTK Examiner.
  • Bookmark Selection in File now allows for more than one selection per file to be added to a bookmark from any FTK tab.
  • FTK Reports now include links to jump to the first or last page of a multi-page section of a selected report.
Additional Encryption, File System and File Support
  • Added decryption support for…
    • Office 2010
    • Sophos SafeGuard Enterprise 5.5
    • Symantec Endpoint Encryption v8.0
    • Lotus Notes proprietary encryption, $SealData, for individually encrypted items inside an NSF.
  • Support for an additional 32 files types
  • A new column identifies encrypted PDFs, and encrypted PDFs are also flagged in file status.
  • Improved handling of Blackberry .IPD files: Now displays calendar information, phone hot-list, tasks, Bluetooth options and browser URLs

Friday, August 26, 2011

[DEMO] AccessData OCR - Optical Character Recognition

OCR, sigla em inglês para Optical Character Recognition, é uma tecnologia que permite reconhecer caracteres de texto em imagens, transformando-os em texto editável. Esta tecnologia é muito popular hoje em dia, pois a grande maioria dos scanners acompanha pelo menos um programa de OCR, que podem ser usados para obter texto de páginas impressas, substituindo a digitação manual.

As fontes True Type utilizadas pelos editores de texto são gravadas em modo vetorial, uma descrição matemática das curvas e linhas que compõem o caracter. Este recurso permite que o tamanho da fonte seja alterado livremente, sem perda de qualidade. Um programa de OCR atua basicamente comparando os caracteres digitalizados com estas fontes gráficas. 


Inicialmente, o programa examina a página para mapear os espaços em branco, reconhecendo títulos, colunas, parágrafos e imagens, o que permite manter a ordem correta do texto. Programas de OCR mais avançados, são capazes de manter toda a formatação da página. O segundo passo, consiste em comparar cada caracter com modelos de fontes suportadas pelo OCR. Havendo uma certa porcentagem de coincidência, o caracter é reconhecido. Como este primeiro processo demanda uma semelhança muito grande entre as fontes e os caracteres digitalizados, muitos acabam não sendo reconhecidos. Mas ainda não é o fim do mundo =)

Nos caracteres não reconhecidos, é aplicado um segundo processo bem mais minucioso, que consiste em analisar geometricamente cada caracter, calculando a altura, largura, e combinações de retas, curvas e áreas em branco. Novamente, é usada a lei da probabilidade: um caracter com uma curva em forma de meia lua que continua na forma de uma reta, por exemplo, tem uma grande chance de ser um "d" minúsculo por exemplo. Este segundo processo é muito mais demorado, pois para cada letra é preciso gerar todo um novo conjunto de caracteres gráficos. Se mesmo com o exame minucioso, não for possível reconhecer o caracter, o programa poderá utilizar um corretor ortográfico para corrigir erros bobos, ou preecher espaços vazios. Com a ajuda do corretor, "Ca1e-se" seria substituído por "Cale-se" e "Paralele#ípe~o" seria alterado para "Paralelepípedo". Uma última alternativa para reconhecer caracteres ilegíveis, pode ser mostrar individualmente o bitmap de cada caracter não reconhecido e, pedir ao usuário que o substitua pela letra correspondente, ou então, simplesmente, usar um símbolo como ~,% ou # no lugar do caractere para que o usuário possa corrigir o erro manualmente depois.

Em computação forense, algumas vezes nos deparamos com casos que a evidência principal está embutida em uma figura, como por exemplo um print screen de uma tela suspeita, ou várias paginas de um arquivo digitalizadas. Estes conteúdos dos arquivos de imagens não são responsivos a uma busca por palavra chave.

Print Screen, você está fazendo isso errado...

Para resolver esta questão, a AccessData implementou o recurso OCR que reconhece caracteres dentro de um arquivo de imagens e fotos no HD suspeito. 

Seu uso é bastante simples, e uma vez processado e indexado, o FTK utiliza o Index Search para que as palavras sejam localizadas nas figuras. Para processar as evidências com o OCR, o perito deve, ao adicionar a evidência, clicar em “Refinement Options...”:


Depois de abrir o “Refinement Options...” o perito deve marcar a opção “Optical Character Recognition” e depois clicar em "OCR Options...".



Como se pode ver, na tela OCR Options o perito pode escolher os tipos de arquivos que serão analisados pela engine do OCR. O engine é o algorítimo que será utilizado para processar os arquivos. Dependendo da sua licença, estará disponível o Tesseract (http://4n6.cc/QdPt6) ou GlyphReader (http://4n6.cc/3dT2W).


Depois de processar a evidência com a opção OCR marcada, o perito deve ir até o Index Search para fazer sua busca.


A pesquisa é feita normalmente sem distinção entre busca em arquivo de texto e arquivo de imagem. É simples, basta processar o caso/evidência com OCR e depois realizar as buscas desejadas. Caso a palavra chave seja encontrada em um arquivo gráfico, este arquivo será responsivo ao critério de busca!

Veja uma demonstração do recurso no vídeo a seguir:






Sunday, August 21, 2011

The Importance of Memory Search and Analysis

Muito interessante este White Paper produzido pela AccessData, destacando a importância em se realizar análise em memória da estação suspeita. Merece o bookmark!



Original disponível em 4n6.cc/hF8JB

Thursday, August 18, 2011

Sua empresa está preparada para manipular evidências digitais?


Os seguintes tópicos descrevem os passos básicos para conduzir investigações digitais e sugerem a ordem em que eles devem ser conduzidos. 

Desenvolvimento dos Procedimentos e Políticas
As áreas destinadas à investigação forense corporativa demandam profissionais especialmente treinados, suporte executivo da empresa e verbas suficientes para serem proficientes no seu trabalho.

Os departamentos devem criar procedimentos e políticas para não serem surpreendidos em situações não esperadas. Dentre os documentos que devem ser criados estão:

Declaração de Missão – Deve incluir as funções básicas do departamento, a visão estratégica aplicada ao negócio, perfil dos funcionários, etc.

Considerações administrativas – Incluir informações sobre licenciamento de software, alocação de recursos financeiros, treinamento, etc.

Requisição de Serviço – Estabelecer diretrizes para oficializar um processo de pedido de serviços forenses corporativos. 

Gerenciamento de Caso – Uma vez que a requisição de serviço está aprovada deve haver critérios para priorizar o trabalho e designar investigadores adequados para cada tipo de trabalho. 

Manipulação de Evidências – Parâmetros devem ser estabelecidos para receber, processar, examinar, documentar e manipular evidências digitais. É importante lembrar que um trabalho forense pode requerer participação de outras ciências forenses, tais como análise de impressão digital, fios de cabelo ou fibras no teclado, etc. 

Desenvolvimento de Procedimentos Técnicos – Estabelecer procedimentos que assegurem a manipulação eficiente dos dados. Estes passos, produtos ou tecnologias devem ser testados previamente em ambiente de laboratório.

Levantamento das Evidências
As evidências digitais devem ser acessadas respeitando sempre o escopo das pesquisas. É necessário que o investigador revise a requisição de serviço para fazer o trabalho e entregar apenas o que foi pedido pelo requisitante.

Levantamento do Caso
Revisão da Requisição de Serviço
Discussão se há necessidade de envolvimento de outras especialidades forenses no caso (Análise de DNA, impressão digital, etc. ;
Considerações da investigação de outros objetos, tipo: impressoras, scanners, câmeras digitais, pocket pc´s, etc.;
Especificação dos tipos de arquivos a serem procurados, tipo: fotos, planilhas, documentos, bancos de dados, registros financeiros, etc.;
Determinação das informações adicionais relacionadas ao caso, tipo: IP, nome da máquina, contas de e-mail, usuários que acessam comumente a máquina, logs de sistema, senhas, etc.
Identificar o nível de conhecimento do investigado. Técnicas empregadas por usuários avançados podem dificultar o trabalho de levantamento de informações (criptografia, esteganografia, etc.).
Determinar o tipo de equipamento necessário para o trabalho.

Um ponto importante a se ressaltar no início dos trabalhos é a garantia da segurança dos investigados. Nunca se sabe a reação que será tomada por um suspeito que pegue sua máquina aberta inadvertidamente!



Considerações sobre o local das investigações
- Determinar se há rede wireless presente
- Entrevistar os administradores de sistema
- Identificar possíveis locais de armazenamento de backups e mídias removíveis
- Identificar previamente o Sistema Operacional

Considerações legais
- Determinar com o jurídico da empresa se há embasamento jurídico para o trabalho
- Assegurar a cadeia de custódia, caso a mídia possa ser apresentada na justiça
- Identificar possíveis problemas relacionados à justiça trabalhista e civil.

Aquisição das Evidências
As evidências digitais por natureza são extremamente frágeis, podendo ser invalidadas, alteradas ou destruídas. Devido a isso alguns tipos de procedimentos devem ser seguidos para se preservar esse tipo de evidência.

O princípio básico é garantir a aquisição dos dados digitais de maneira a se proteger a evidência. Alguns dos cuidados que devem ser tomados para isso são:

Manipular a evidência digital de acordo com os padrões corporativos previamente
Documentar o hardware e o software da máquina do examinador
Abrir a CPU do computador examinado para ter acesso físico aos dispositivos internos
Identificar os dispositivos que precisam ser adquiridos (removíveis ou não)
Documentar os dispositivos internos e a configuração de hardware da máquina investigada



Exame dos Dados
Nesse ponto os dados já estão disponíveis para aferição. Os conceitos abaixo servem para auxiliar ao investigador a pontuar e desenvolver uma seqüência para o exame dos dados digitais. Os passos abaixo citados não são definitivos e podem ser alterados ou acrescentados de outros detalhes. Fica a cargo do investigador decidir quais são os melhores métodos a serem adotados.

Ao iniciar os exames de evidências digitais, considere usar os seguintes passos:

PREPARAÇÃO
Procure pelos diretórios pelos arquivos e dados que podem ser recuperados e extraídos.

EXTRAÇÃO
Existem dois tipos de extração de dados, a física e a lógica. A extração física identifica e recupera dados através de um disco inteiro sem se ater ao sistema de arquivos. A extração lógica trabalha sob o sistema operacional, o sistema de arquivo e as aplicações.

Extração Física
Durante essa fase os trabalhos acontecem no nível físico do disco, sem se importar com o sistema de arquivos existente. Podem ser feitas pesquisas por palavra-chave, recuperação de clusters não alocados do disco e partições, entre outros.

Extração Lógica
Nesta fase dos trabalhos se trabalha no nível do sistema de arquivos presentes no disco e podem incluir áreas como arquivos deletados, file slack, e áreas não-alocadas. Algumas das tarefas que podem ser executadas nessa fase são:

1. Coleta das informações do sistema de arquivos para revelar características como estrutura de diretórios, atributos de arquivos, nome de arquivos, tamanho de arquivos, horários de acesso, etc.
2. Afunilamento de dados para identificar e eliminar arquivos conhecidos através de comparação de hashes ou assinatura de arquivos
3. Recuperação de arquivos e e-mail apagados, ou em áreas de paginação do disco (Ex.: Arquivo Pagefile.sys, nos sistemas Windows)
4. Identificação de dados protegidos por senha, encriptados ou comprimidos
5. Identificação e extração de espaços não-alocados e file slack

ANÁLISE DOS DADOS EXTRAÍDOS
Essa fase contempla a interpretação dos dados extraídos para determinar a correlação com o caso ou não. Alguns tipos de análise que podem ser executados são:

Análise de linha do tempo – É útil para determinar se um evento aconteceu em um computador tem associação com um ou mais investigados.
Revisão dos logs de aplicação e de sistema – Podem incluir erros de aplicação, logs de instalação, conexões e segurança, etc.
Análise de dados ocultos – Pode-se encontrar Alternate Data Streams, arquivos criptografados, esteganografia, entre outros.
Análise de aplicações e arquivos – Vários programas e tipos de arquivos podem conter dados substanciais ao caso. Dentre os métodos que podem ser utilizados para aferir esses dados podemos citar: Revisão de tipos de arquivo, assinaturas, hash, sistemas operacionais presentes, entre outros.

CONCLUSÃO
A partir de todos os dados coletados, documentados e aferidos é possível se vislumbrar uma conclusão para o incidente. Nesse passo todo o processo e conferido, organizado e apresentado à área que demandou o serviço.

Organização do Relatório Final
O examinador é responsável por documentar com responsabilidade e isenção os seus achados. A documentação é um processo recorrente no trabalho de um investigador corporativo e deve ser seguido metodicamente. 

É importante lembrar que normalmente os dados encontrados, muitas vezes bits e bytes, não são inteligíveis ao grande público. É importante que o relatório final seja escrito com linguagem simples e sem “tecnoquês”.

Algumas informações que devem estar em um anexo do relatório final:
Cópia da abertura do chamado, com os detalhes especificados
Cópia do documento de cadeia de custódia
Notas detalhadas do processo de duplicação forense dos dados
Notas sobre as datas e horários de cada fase do exame dos dados
Documentação sobre irregularidades encontradas e quais ações foram tomadas sob esses imprevistos
Informações adicionais sobre informações do domínio/rede, lista de usuários que já tiveram acesso à máquina investigada, senhas, acordos de serviço assinados com o usuário
Documentação sobre backup dos dados do investigado

RELATÓRIO FINAL
Estas são algumas sugestões sobre quais informações devem estar detalhadas num relatório final. Estes detalhes devem ser firmados durante a implantação da área na corporação, e devem ter aprovação dos departamentos jurídicos, tecnologia, segurança, auditoria, e demais envolvidos.

Nome da Empresa
Número do Incidente
Nome do Investigador
Data do início e do fim dos trabalhos
Descrição dos itens enviados para investigação, incluindo números de série, modelo e fotos
Descrição dos passos tomados para investigação, bem como palavras-chave utilizadas, imagens encontradas e arquivos deletados recuperados
Conclusões

OBS: este arquivo foi repassado para mim por um cliente, não sei a origem das informações nem o autor. Procurei no Google, mas sem sucesso. Se alguém souber quem é o "dono" do texto, por favor, me avisem =)

Wednesday, August 17, 2011

Manipulação de Evidências Digitais


A natureza frágil dos dados digitais leva a necessidade de haverem métodos especiais para manipulação desses materiais. Além disso, a utilização de um processo bem definido é preponderante para o sucesso de qualquer investigação forense.

Todas as empresas deveriam ter processos previamente definidos para lidar tanto com resposta à incidentes quanto com a forense corporativa, e devem ter muito mais cuidado quando o resultado desses trabalhos internos puder vir ser levado a algum tribunal.

Quando se manipulam evidências digitais alguns princípios são vitais, tais como:
  • Ações tomadas para resguardar e coletar os dados não deve afetar a integridade da evidência;
  • As pessoas que conduzem as investigações devem ser treinadas para isso;
  • Todas as atividades do processo devem ser documentadas, preservadas e sempre disponíveis para consulta.
Algumas observações que devem ser feitas:
  • Levantamento – Os investigadores devem levantar somente os dados contemplados no escopo de um caso. Mantendo assim questões éticas que em algum momento podem comprometer a idoneidade da investigação. Se o objeto das investigações são os e-mails não há por que acessar a pasta de fotos pessoais do usuário.

  • Aquisição - As evidências digitais por natureza são frágeis e podem ser alteradas, enviadas e destruídas pela manipulação indevida dos dados. As investigações devem ser conduzidas em um clone do disco original. O disco original deve ser coletado de maneira a proteger e preservar a sua integridade.

  • Exame dos Dados – Extração e análise da evidência digital. É importante que se utilizem mecanismos de bloqueio de gravação no disco investigado (Write Blocking), para que não haja risco de contaminação da prova.
  •  Documentação e Relatório Final – TODAS as ações e observações devem ser documentadas durante o processo de investigação digital. Desde a fotografia da máquina do usuário sendo aberta ou do disco sendo copiado, até a impressão dos e-mails e arquivos apagados.



"Hacker é bandido", diz diretor de Segurança da Informação da Presidência

[update 17/08]


Andei pensando na declaração dada pelo Sr. Mandarino e cheguei a algumas conclusões:

  • Já não cabe mais tentar argumentar a diferença entre hacker e cracker, a mídia já criou esta imagem do hacker malvado, hacker defacer, hacker cracker.... É uma batalha perdida, sem mais #mimimi...
  • O Sr. Mandarino, com todo o conhecimento de causa que lhe cabe, generalizou demais... É como dizer que todo político é safado. Bem, sabemos que não é beeeem assim...
  • A declaração do Sr. Mandarino gerou uma repercussão incrível no meio de SegInfo...
  • Achei muito interessante o artigo de Sílvio Teles, publicado no jornal O Globo. com o tema "Os hackers são bandidos?" Detalhe, este artigo foi publicado dia 24/06/2011 e explora muito bem o tema que estamos discutindo.
  • A mídia exagera e isso é um fato. A mídia precisa de chamar atenção do público, e um título deste gera publicidade! A mídia sabe fazer bem este jogo... Lembrei-me do episódio recente da Playboy onde uma frase, totalmente fora do contexto, gerou muita polêmica em cima da Sandy.
  • Por fim, como não participei do SegInfo 2011, não tenho informações suficientes para opinar sobre o tema. Apenas divulgo aqui a reportagem original (sensacionalista?) da IDG Now! e outras informações pertinentes ao ocorrido   =)

_______________________
[Post Original - 16/08]


Declaração do diretor do Departamento de Segurança da Informação e Comunicações do Gabinete da Segurança da Presidência da República, sr. Raphael Mandarino, demonstra, na minha opinião, uma certa falta de conhecimento técnico. O cara estava lá no SegInfo 2011, no Rio de Janeiro, e soltou esta pérola sobre os black hats generalizando tudo, como se white hat / ethical hacker fossem "bandidos"... 


O mesmo cara que estava falando sobre o uso do STUXNET como arma militar...


Ai, sr. Raphael, MAGOEI   =(



“Eu continuo com a minha posição: hacker é bandido”. A polêmica declaração é do diretor do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República, Raphael Mandarino. 
A afirmação, divulgada em vídeo publicada pelo site Convergência Digital, foi feita na última sexta-feira (12/08), no Rio de Janeiro, durante o evento de segurança digital Seginfo 2011, e serviu como resposta ao ministro de Ciência e Tecnologia, Aloizio Mercadante, que, em junho, disse que o Governo poderia procurar a comunidade hacker em busca de ajuda na segurança cibernética do País. 

Leia a reportagem completa do IDG Now! em 4n6.cc/zEkzu

Monday, August 15, 2011

um pouco mais sobre wipe

Sempre que falo sobre a importância da sanitização de mídias em um processo forense, gero polêmicas e discussões (saudáveis) sobre o tema: Wipe é importante? Qual método utilizar? Existem equipamentos "mágicos" que recuperam dados sobrescritos?


Existe uma característica nos discos atuais que, devido a forma como eles operam, permitem que dados sejam recuperados mesmo após remoção dos dados do disco. Esta caratcerística se chama data remanence e pode recuperar os dados empregando-se uma técnica chamada de Magnetic force microscope, ou MFM.

Como se proteger? Sanitização! Alguns padrões de wipe reconhecidos no mercado:

1. Standard overwite (1 pass)
PassBinary DataHex Data
100000000 00000000 0000000000 00 00

2. DoD 5220.22-M(E) (3 passes) (http://4n6.cc/OBM5I  /  http://4n6.cc/F4pfq)
It is US depatment of defense standard.
PassBinary DataHex Data
100000000 00000000 0000000000 00 00
211111111 11111111 11111111FF FF FF
3(Random)(Random)

3. DoD 5220.22-M(ECE) (7 passes) (http://4n6.cc/OBM5I  /  http://4n6.cc/F4pfq)
It is US depatment of defense standard.
PassBinary DataHex Data
1(Random byte)(Random)
2(Random complement byte)(Random)
3(Random data)(Random)
4(Random data)(Random)
5(Random byte)(Random)
6(Random complement byte)(Random)
7(Random data)(Random)

4. AR380-19 (3 passes) (http://4n6.cc/2BbEZ   /   http://4n6.cc/lcxzW)
It is US Army standard.
PassBinary DataHex Data
1(Random data)(Random)
2(Random byte)(Random)
3(Random complement byte)(Random)

5. Russian GOST P50739-95 (2 passes)
PassBinary DataHex Data
100000000 00000000 0000000000 00 00
2(Random)(Random)

6. Gutmann (35 passes) (http://4n6.cc/gT3dL    /    http://4n6.cc/e7ATc)
PassBinary DataHex Data
1(Random)(Random)
2(Random)(Random)
3(Random)(Random)
4(Random)(Random)
501010101 01010101 0101010155 55 55
610101010 10101010 10101010AA AA AA
710010010 01001001 0010010092 49 24
801001001 00100100 1001001049 24 92
900100100 10010010 0100100124 92 49
1000000000 00000000 0000000000 00 00
1100010001 00010001 0001000111 11 11
1200100010 00100010 0010001022 22 22
1300110011 00110011 0011001133 33 33
1401000100 01000100 0100010044 44 44
1501010101 01010101 0101010155 55 55
1601100110 01100110 0110011066 66 66
1701110111 01110111 0111011177 77 77
1810001000 10001000 1000100088 88 88
1910011001 10011001 1001100199 99 99
2010101010 10101010 10101010AA AA AA
2110111011 10111011 10111011BB BB BB
2211001100 11001100 11001100CC CC CC
2311011101 11011101 11011101DD DD DD
2411101110 11101110 11101110EE EE EE
2511111111 11111111 11111111FF FF FF
2610010010 01001001 0010010092 49 24
2701001001 00100100 1001001049 24 92
2800100100 10010010 0100100124 92 49
2901101101 10110110 110110116D B6 DB
3010110110 11011011 01101101B6 DB 6D
3111011011 01101101 10110110DB 6D B6
32(Random)(Random)
33(Random)(Random)
34(Random)(Random)
35(Random)(Random)


Como curiosidade, mostro este caso de recuperação de dados críticos a partir de HDs encontrados nos escombros do World Trade Center, pós atentados de 09/11:




Para quem quiser saber mais sobre wipe, Guttman e a recuperação de dados deletados, recomendo a leitura dos seguintes papers:



Outras leituras recomendadas:

http://www.anti-forensics.com/disk-wiping-one-pass-is-enough
http://www.anti-forensics.com/disk-wiping-one-pass-is-enough-part-2-this-time-with-screenshots