Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense O que é,...
Transcript of Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense O que é,...
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• O que é, formalmente?
– “Uma abordagem metodológica para a apreensão e preservação de informação e obtenção de provas informáticas para incriminação legal”
– “Ciência de encontrar, recolher, analisar e preservar registos informáticos que sejam admissíveis em tribunal ou outros ambientes legais”
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Quem é o analista forense informático, então?
– Um investigador que, no âmbito informático, desempenha as mesmas funções de um detective clássico
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• A quem interessam os serviços de um analista forense?– Investigadores Criminais– Companhias de Seguros– Empresas em geral– Indivíduos em geral
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• “Quando se procura algo específico, as hipóteses de o encontrar são reduzidas. De todas as coisas do mundo, estar-se-á à procura de apenas uma delas. Quando não se procurar rigorosamente nada, a probabilidade de encontrar algo será muito mais elevada. De todas as coisas do mundo, encontrar-se-á certamente algumas.”
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Anti-análise forense
– Desenvolve métodos de resistência à análise forense...
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Anti-análise forense? Aqui?!!
– A melhor forma de se apanhar um criminoso é conseguindo pensar da mesma forma que ele.
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Honey Pots (um pequeno parêntesis…)
– Muito úteis para perceber formas típicas de actuação do “lado inimigo”
• honeyd• VMware
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense• Honey Pots – honeyd
• create windows
• set windows personality "Windows NT 4.0 Server SP5-SP6"
• set windows default tcp action reset
• set windows default udp action reset
• add windows tcp port 80 "perl scripts/iis-0.95/iisemul8.pl"
• add windows tcp port 139 open
• add windows tcp port 137 open
• add windows udp port 137 open add windows udp port 135 open
• set windows uptime 3284460
• bind 192.168.1.101 windows
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense• Honey Pots – honeyd
• create linux • set linux personality "Linux 2.4.16 - 2.4.18" • set linux default tcp action reset • set linux default udp action reset • add linux tcp port 110 "sh scripts/pop3.sh" • add linux tcp port 25 "sh scripts/smtp.sh" • add linux tcp port 21 "sh scripts/ftp.sh" • set linux uptime 3284460 • bind 192.168.1.102 linux
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense• Honey Pots – honeyd
• create router • set router personality "Cisco IOS 11.3 -
12.0(11)" • set router default tcp action reset • set router default udp action reset • add router tcp port 23 "/usr/bin/perl
scripts/router-telnet.pl" • set router uid 32767 gid 32767 • set router uptime 1327650 • bind 192.168.1.104 router
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Tipos clássicos de “criminosos”
– Script Kiddies– Crackers– Hackers
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• A integridade do seu sistema foi comprometida!!
• Foi chamado o Analista Forense…e… a sua primeira preocupação é…
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Capturar uma imagem do sistema, na sua globalidade, tão livre quanto o possível de distorções e lacunas
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Mas:–As ferramentas do sistema serão
de confiança?–Será preferível manter ligado, ou
desligar o sistema da rede?
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• O que acontece quando se executa um comando?– Shell (inc. variáveis de ambiente)– Comando, propriamente dito– Bibliotecas dinâmicas– Drivers de dispositivos– Kernel– Controladores– Hardware
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Solução:– Tipicamente, é preferível utilizar um “kit pessoal”– Composição do kit:
• Colecção de ferramentas compiladas estaticamente (dd, cp,cat, ls, …)
• Formas alternativas de obter ferramentas adicionais
• Ferramentas específicas– TCT – “The Coroners Toolkit”
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• E depois? Dever-se-á fazer a análise sobre o original, ou sobre uma cópia?
– Nem tudo pode ser feito sobre cópias– Não trabalhando sobre o sistema real, podem ser
perdidos alguns aspectos– Ao trabalhar sobre o original, podem ser
destruídos aspectos igualmente importantes
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Genericamente, poder-se-á considerar:– Desligar o sistema da rede (caso se aplique)– NÃO DESLIGAR A ALIMENTAÇÃO!!– Tentar a cópia integral do sistema, respeitando a
ordem de volatilidade– Não ceder à tentação de tentar analisar
imediatamente– Registar todas as operações efectuadas
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Cópia de conteúdos em RAM:– #dd</dev/kmem>kmem.save
• Cópia simples de ficheiros via rede:– #cat file|nc –w 3 to 1234– #nc –p 1234 –l>file.save
• Genericamente, o dd é nosso amigo!!
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Guardar estado de canais de comunicação– netstat– route– Arp– ifconfig– Informação de kernel
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Processos– ps– /proc– Lsof– netstat
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Outros– rpm– Patches– Portscans– Configuração de kernel
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• E então…– Congelar o sistema, se for caso disso…
• Power Management!
• Ou…– Passemos à acção!
• Utilização de toolkits para procura de rastos mal apagados
• Se existir no sistema um IDS (Intrusion Detection System), podem verificar-se assinaturas na procura de ficheiros alterados, criados ou eliminados
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Anti-análise forense (novamente…)
– Analisando as formas de actuação dos analistas forenses, observam-se falhas e tenta-se conseguir formas de as contornar!
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Os analistas forenses tentam encontrar informação– Os atacantes têm necessidade de esconder
informação• Rootkits• Logs de um sniffer• Outra informação diversa
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação?
– Em pequenos espaços que existam livres, dentro ou fora do sistema de ficheiros
• Espaço fora de partições• Sectores marcados como livres• Slack Space
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação?
– Em pequenos espaços que existam livres, dentro ou fora do sistema de ficheiros
• Espaço fora de partições• Sectores marcados como livres• Slack Space
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação?– SlackSpace
• Ext2 – blocos de 4KB
• FAT32– <= 260 MB 4 KB – <= 8 GB 8 KB – <= 60 GB 16 KB – <= 2 TB 32 KB
• NTFS– Entre 512 bytes (<=512MB) e 64 Kbytes (>32GB)
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (2)?
– Utilizando recursos pouco conhecidos
• ADS (em NTFS)
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (3)?
– Se não for mais necessária, eliminando-a convenientemente
• “TDT – The Defilers Toolkit”– necrofile– klismafile
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (3)?– Se não for mais necessária, eliminando-a
convenientemente
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (3)?– necrofile (antes)
– [root@golfinho root]$ ./ils /dev/hda6
– class|host|device|start_time
– ils|XXX|/dev/hda6|1026771982
– st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_dtime|st_mode|st_nlink|st_size|st_block0|st_block1
– 12|f|0|0|1026771841|1026771796|1026771958|1026771958|100644|0|86|545|0
– 13|f|0|0|1026771842|1026771796|1026771958|1026771958|100644|0|86|546|0
– 14|f|0|0|1026771842|1026771796|1026771958|1026771958|100644|0|86|547|0
– 15|f|0|0|1026771842|1026771796|1026771958|1026771958|100644|0|86|548|0
– 16|f|0|0|1026771842|1026771796|1026771958|1026771958|100644|0|86|549|0
– 17|f|0|0|1026771842|1026771796|1026771958|1026771958|100644|0|86|550|0
– ...
– 36|f|0|0|1026771842|1026771796|1026771958|1026771958|100644|0|86|569|0
– 37|f|0|0|1026771842|1026771796|1026771958|1026771958|100644|0|86|570|0
– [root@golfinho root]$
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (3)?– necrofile (durante)
– [root@golfinho root]$ ./necrofile -v -v -v -v /dev/hda6
– Scrubbing device: /dev/hda6
– 12 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f
– 13 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f
– 14 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f
– 15 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f
– 36 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f
– …
– 37 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f
– [root@golfinho root]$
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (3)?– necrofile (depois)
– [root@golfinho root]$ ./ils /dev/hda6
– class|host|device|start_time
– ils|XXX|/dev/hda6|1026772140
– st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_dtime|st_mode|st_nlink|st_size|st_block0|st_block1
– [root@golfinho root]$
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (3)?– klismafile (antes)
– [root@golfinho root]$ ./fls -d /dev/hda6 2
– ? * 0: a
– ? * 0: b
– ? * 0: c
– ? * 0: d
– ...
– ? * 0: x
– ? * 0: y
– ? * 0: z
– [root@golfinho root]$
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (3)?– klismafile (durante)– [root@golfinho root]$ ./klismafile -v /mnt
– Scrubbing device: /dev/hda6
– cleansing /
– -> a
– -> b
– -> c
– ...
– -> y
– -> z
– Total files found: 29
– Directories checked: 1
– Dirents removed : 26
– [root@golfinho root]$
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (3)?– klismafile (depois)
– [root@golfinho root]$ ./fls -d /dev/hda6 2
– [root@golfinho root]$
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Como esconder essa informação (4)?
– Escondendo-a onde menos se pensaria encontrá-la
• Esteganografia
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Esteganografia
– Deramatus e a comunicação da iminência de uma invasão (480 AC)
• Tábuas enceradas
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Esteganografia– Johannes Trithemius (1462-1516)
• "Steganographia:hoe est ars per occultam scripturam animi sui voluntatem absentibus aperiendi certa"
• "The bearer of this letter is a rogue and a thief. Guard yourself against him. He wants to do something to you."
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Esteganografia– Mensagem alemã, publicada durante a segunda
guerra mundial:• “Apparently neutral’s protest is thoroughly
discounted and ignored. Isman hard hit. Blockade issue affects pretext for embargo on by-products, ejecting suets and vegetable oils.”
•Pershing sails from NY June I
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Esteganografia– Actualmente, aparece frequentemente com a
denominação “watermarking”– Muito utilizada para copyrights– Aparece sob os mais diversos disfarces
• Ficheiros multimedia• Imagem• Texto• Outros
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Esteganografia• Sob ficheiros de imagem
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Esteganografia• Sob ficheiros de imagem
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Esteganografia• Sob ficheiros de som
– Modelo Psicoacústico e auditory masking
Análise Forense António José Marques/Luis Miguel Silva 2003
Anti-análise Forense
• Esteganografia• Outros
– Codificação em bits de cabeçalhos IP– Submodulação em canais audio de brodcasts
de televisão e rádio– Utilizando LSb de uma comunicação
telefónica através de RDIS (DigiStilz)– Métodos semelhantes em VoIP
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Novamente??!!!!
–Contra os métodos de eliminação eficaz de informação, os métodos de recuperação ainda mais eficazes
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Contra os métodos de eliminação eficaz de informação, os métodos de recuperação ainda mais eficazes – MFM –Magnetic Force Microscopy
– SPM – Scanning Tunneling Microscopy
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Bits na superfície de um disco rígido??!!!
Análise Forense António José Marques/Luis Miguel Silva 2003
Análise Forense
• Bits na superfície de um DVD-RW??!!!