computação forense 0800 tony rodrigues

C o m p u t a ç ã o F o r e n s e 0 8 0 0 (o u q u a s e !)C o m p u t a ç ã o F o r e n s e 0 8 0 0 (o u q u a s e !)To n y R o d r ig u e sTo n y R o d r ig u e s

in v .f o r e n s e a r r o b a g m a i l p o n t o c o min v .f o r e n s e a r r o b a g m a i l p o n t o c o m

Computação Forense 0800 (ou quase !)

Q u e m s o u ?Q u e m s o u ?

• Tony Rodrigues, C IS S P , C F C P , S e c u r i t y +C IS S P , C F C P , S e c u r i t y +

• Gerente de Segurança de Informações em uma Seguradora no Rio de Janeiro

• Perito/Investigador em Computação Forense

• Blog: http://forcomp.blogspot.com


A g e n d a

• Introdução• Laboratório do Perito em Computação

Forense• Benefícios do Software Livre• Soluções• Live CDs• Utilitários• Comparativo• Faça o seu !


Laboratório do Perito - $$$$ !

• Entre outras coisas:– Laptop

– Servidor

– Muita capacidade de storage

– Write Blockers

– Software

Custo alto !!!

Aqui podemos fazer algo: Software Livre


B e n e f í c io s d o S o f tw a r e L iv r e n a C o m p u t a ç ã o F o r e n s e

• São realmente soluções de baixo orçamento;• Código fonte disponível para avaliação e

customização;• Muitas ferramentas disponíveis para

aquisição de análise de imagens forenses;• Muitos usuários em todo o mundo disponíveis

para ajudar;• Comparação/Double Check dos resultados;• Não é afetado pelo problema qualidade x

funcionalidades;• Melhores resultados em avaliação de custo x

benefício;


S o lu ç õ e s d e S o f tw a r e L iv r e p a r a C o m p u ta ç ã o F o r e n s e

• Utilitários Windows e Linux• Live CDs• Pacotes• Live DVDs• Appliances de máquinas virtuais


Helix3 Live C D

• Era conhecido como o melhor live cd para Computação Forense

– Versão 2009R1 só está disponível para Membros do Helix Forum ($$$)

– Esta é a razão do “(ou quase)” no título da palestra

• Resposta a Incidentes em Windows• Baseada no Ubuntu e no GNome

Desktop• Muitas ferramentas disponíveis• Talvez seja o mais usado live cd de

Computação Forense


Helix3 Live C D


Helix3 Live C D – R es pos ta a Inc identes


Helix3 Live C D – P rós e C ontras

• Prós– Resposta a Incidentes baseada em

Windows

– Quantidade e qualidade das ferramentas

– Documentação

– Kernel customizado• Contras

– Faltam algumas ferramentas mais novas (PTK, p.ex.)

– Poucos lançamentos por ano

– 2008R1 é a última versão não-comercial


FC C U Live C D

• Live CD da Federal Computer Crime Unit (Polícia Federal Belga) Versão 12.1

• Baseada no Debian e no XFCE Desktop• É o campeão das ferramentas (quantidade e

variedade) • Ferramentas Windows para aquisição de

memória RAM• Ferramentas exclusivas

– fuzzy hash

– browser history viewer múltiplo

– Análise de memória• O melhor candidato para assumir o lugar do

Helix


FC C U Live C D


FC C U Live C D – P rós e C ontras

• Prós– A existência de ferramentas Windows para aquisição da

RAM indica a estratégia de disponibilizar ferramentas Windows para Resposta a Incidentes

– Quantidade, qualidade e variedade das ferramentas

– Documentação

– Atualizações freqüentes

– Ligado nas tendências do mercado• Contras

– Ausência do Firefox

– Teclado Belga como default

– Precisa melhorar o menu


FDTK Live C D

• Forense Digital ToolKit - Live CD Brasileiro - Versão 2.01

• Baseado no Ubuntu e Gnome Desktop• Muitas ferramentas disponíveis,

semelhante ao FCCU• Menu detalhado• Ferramentas exclusivas

– Dc3dd GUI• Usado em aulas de Computação Forense

da Unisinos


FDTK Live C D


FDTK Live C D – Prós e C ontras

• Prós– Atualizado freqüentemente

– Praticamente tem todas as ferramentas acessíveis pelo menu

– Excelente opção para países de língua Portuguesa

• Contras– Faltam ferramentas de Network Forensics

– Teclado brasileiro (ABNT2) como default

– Documentação precisa melhorar


C A IN E Live C D

• Live CD Computer Aided Investigative Environment - Versão 0.4

• Baseado no Ubuntu e no Gnome Desktop• Projeto da Universidade de Modena (Itália)• Baseado na interface Caine• Ferramentas exclusivas

– SFDumper (dump de arquivos pelo tipo)

– Fundl (Undelete de arquivos)• Gera relatórios automaticamente


C A IN E Live C D


C A IN E Live C D – C a ine Interfac e


C A IN E Live C D – P rós e C ontras


– A interface CAINE auxilia nos passos da investigação

– Documentação e relatórios semi-automatizados

– Excelente ferramenta para iniciantes • Contras

– Poucas ferramentas disponíveis

– Teclado Italiano como default

– Documentação precisa de melhorias


Pla inS ig ht Live C D

• Live CD PlainSight Versão 0.1– Ferramenta produzida para uma tese de

Mestrado• Baseado no Knoppix e no KDE Desktop• A base é a interface PlainSight• Ferramentas exclusivas

– Spider

– RegRipper• Ferramentas de Análise de Memória


Pla inS ig ht Live C D


Pla inS ig ht Live C D – P la inS ig ht Interfac e


Pla inS ig ht Live C D – Prós e C ontras

• Prós– Possui importantes ferramentas de análise

(Memória/Registry)

– A interface PlainSight auxilia os passos da investigação

– A interface PlainSight beneficia a criação de relatórios

• Contras– Não possui ferramentas necessárias para

uma investigação completa

– Não aparenta continuidade

– Precisa melhorar a documentação


DE FT Live C D

• Live CD Italiano Digital Evidence and Forensic Toolkit - Versão 4.1

• Baseado no Xubuntu e no xfce4 desktop• Ferramentas exclusivas

– Dhash (hash)

– XPlico (decodificador de tráfico de internet)

– Catfish (buscador de arquivos)• Não é para novatos• Outro forte candidato a ser o melhor live

cd de Computação Forense


DE FT Live C D


DE FT Live C D – X plic o tool


DE FT Live C D – P rós e C ontras


– Possui um roadmap publicado do que será implementado nas novas versões

– Boot rápido

– Disponível para USB em breve

– Só pelo Xplico já vale • Contras

– Não tem programa GUI para configuração de rede

– Faltam algumas ferramentas importantes para análise (memória, browser, registry, etc)


ForLex Live C D

• Live CD Italiano Informatica Forense Versão 1.5.0

• Baseado no Knoppix• Ferramentas exclusivas

– All in 1 (interface para o TSK)


ForLex Live C D


ForLex Live C D – A ll in 1


ForLex Live C D – Prós e C ontras

• Prós– All in 1

– Boot rápido• Contras

– Website somente em italiano

– Faltam algumas ferramentas importantes para análise (memória, browser, registry, etc)

– A versão 1.5.0 foi distribuída com alguns utilitários desatualizados

– Teclado Italiano como default


U tilitá rios – Aquis iç ão de Imag ens Forens es - G U I

GuyMager GuyMager GuyMagerGuyMager

dc3dd GUI

Air AirAir Air

Adepto

LinenLinen

ForLex 1.5.0

Helix 2.0

FCCU 12.1

FDTK 2.01DEFT4.1Caine 0.4

PlainSight 0.1


U tilitá rios – Aquis iç ão de Imag ens Forens es - C LI

dds2tar dds2tardds2tar dds2tar

cstream

dc3dddc3dddc3dddc3dd

rddirddi

ddrescueddrescue ddrescue ddrescue

dd_rhelpdd_rhelp

dd_rescuedd_rescu

edd_rescuedd_rescuedd_rescue dd_rescue

rddrdd

dcfldddcfldddcfldddcfldddcfldddcfldd

dddddddddddddd

sdd sddsdd

ForLex 1.5.0Helix 2.0

FCCU 12.1

FDTK 2.01DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – Aná lis es

allin1.pyallin1.py

AutopsyAutopsyAutopsyAutopsyAutopsyAutopsy

SleuthKitSleuthK

itSleuthKitSleuthkitSleuthkitSleuthkitSleuthkit

ForLex 1.5.0

Helix 2.0FCCU 12.1

FDTK 2.01

DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – C riaç ão de Linha do Tempo

mac_gra

b.pl

mactimemactimemactimemactimemactimemactime

mac-robber


FCCU 12.1FDTK 2.01

DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – Deleç ão s eg ura

wipe wipewipewipe wipe

shread shread

ForLex 1.5.0

Helix 2.0

FCCU 12.1

FDTK 2.01

DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – C arving

magicrescue magicrescuemagicrescue

grepj-fat

foregone.pl

revit

photorecphotorecphotorecphotorec

ScalpelScalpelScalpelScalpelScalpelScalpel

foremostforemostforemostforemostforemostforemostforemost

ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – R ec uperaç ão de S is tema de A rquivos

disktypedisktypedisktypedisktype disktypedisktype

jfsutilsjfsutilsjfsutils

sshfs

setmaxsetmax

ntfsundeletentfsundel

ete ntfsundeletentfsundelete

safecopy

recoverdm

myrescue

e2retrieve

recover recoverrecover

e2undele2undel

Scrounge-NTFS Scrounge-NTFSScrounge-NTFS

NTFS ToolsNTFS Tools

testdisktestdisktestdisktestdisk

fatbackfatback

ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine

0.4PlainSight

0.1


U tilitá rios – Has h

ssdeepssdeep

Gtkhash

Dhash

sha1sumsha1dee

psha1deepsha1deep/sha1su

msha1sumsha1sumsha1sum

md5summd5deepmd5deepmd5sum/md5deepmd5summd5summd5sum


FCCU 12.1FDTK 2.01DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – Aná lis e de a tividade de Internet

bhv

dumpAutocomplete.py

cookie_cruncher.plcookie_cruncher.pl

mork.p

lmork.plmork.pl mork.pl

GalletaGalletaGalleta

PascoPascoPascoPasco Pasco

ForLex 1.5.0

Helix 2.0FCCU 12.1FDTK 2.01

DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – Aná lis e de Arquivos Window s

clit

ppsei

evtviewer

yim2text

pdftkpdftk

fccu.evtreaderfccu.evtreader

fccu-docpropfccu-docprop

opentnef

tnef tneftnef

catdoc

mdbtoolsmdbtools

Wvtools

antiwordantiword

dumpster_dive.pldumpster_dive.pl

GrokEvtGrokEvt

RifiutiRifiuti

ForLex 1.5.0

Helix 2.0FCCU 12.1FDTK 2.01

DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – Antivírus

missidentify

Clamav

(clamscan)ClamavClamavClamav

F-Prot

rkhunterrkhunter

chkrootkitchkrootkitchkrootkitchkrootkitchkrootkit chkrootkit

ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine 0.4PlainSight 0.1


U tilitá rios – N etw ork Forens ic s

msn-capture

Chatsniff

Scapy

Nast

Karpski

Driftnet

Ethercap

Snifit

Hunt hunt

dsniffdsniffDsniff dsniff

Netdude

Tcpflow

Tcptrack

Tcpick

Netwox

Ngrep

tcpxtractTcpxtract



U tilitá rios – N etw ork Forens ic s (2)

Prismstumbler

tcpreplay

wiresharkWireshark wireshark

Xplico

Darkstat

Weplab

nmap Nmap

Knocker

arpingArping

P0f

Nbtscan

Imsniff



U tilitá rios – E numeraç ão de Hardw are

blktoolblktool

cpuid

lsscsi lsscsi

lsusblsusblsusb

lspcilspcilspci

x86info

scsiadd scsiadd

scsitools scsitools

discoverdiscover discover

lshwlshwlshwlshwlshw

ForLex 1.5.0

Helix 2.0

FCCU 12.1

FDTK 2.01

DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – B us ca de pa lavras -c have

sgrep

fccu-search-files

fccu-infile-search

Spider

glarkglark

ForLex 1.5.0

Helix 2.0

FCCU 12.1FDTK 2.01

DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – E s teg anog ra fia

stegdetectstegdetectstegdetect stegdetect

OutguessOutguessOutguessOutguess Outguess


FCCU 12.1

FDTK 2.01DEFT4.1Caine 0.4

PlainSight 0.1


U tilitá rios – Aná lis e de R eg is try

ReglookupReglookupReglookup

userassist.pl

regpregp

regtool regtool

regripper RegRipper

regviewer



U tilitá rios – Quebra de S enhas

hydra

pdfcrack

bioskbsnarf

qcrack

medussamedussa

fcrackzipfcrackzip

ophcrackophcrackophcrackophcrackophcrack

nasty

pgpcrack

bkhivebkhivebkhivebkhivebkhivebkhive

samdump2samdump

crack

lcrack

john the ripperjohn the ripperjohn the ripper

pwl

cmospwd

ChntpwChntpwChntpw



U tilitá rios – Aná lis e de E mails

eindeutigeindeutig

ripole

readpstreadpstreadpstreadpst

grepmail

ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – Aná lis e de Fotos e Imag ens

exifprobeexifprobe

extract

RecoverPhotos

jpeginfojpeginfo

dcrawdcrawdcrawdcraw dcrawdcraw

jheadjhead

metacam

exifexif

exifgrepexifgrep

exiftagsexiftags

FBI FBI

recoverjpegrecoverjpeg

VinettoVinetto Vinetto

Retriever

ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01

DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – C riptog ra fia

ccryptccrypt

bcryptbcrypt

cryptcatcryptcatcryptcatcryptcat cryptcatcryptcat

ForLex 1.5.0Helix 2.0FCCU 12.1

FDTK 2.01

DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – C ompac tadores

nomarch

star starstar star

mscompress/msexpan

dmscompress/msexpan

dmscompress/msexpan

dmscompress/msexpan

d

unace unaceunace

unrar unrarunrar unrar

unshieldunshield

spantape

orangeorange

p7zipp7zipp7zip

cabextract cabextractcabextract

arjarj

zoozoo

gzrecovergzrecover

lzop lzoplzop lzop


0.4PlainSight 0.1


U tilitá rios – Formatos de Imag em Forens e

afflibafflibafflibafflibafflib

libewflibewflibewf libewf


DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – Aná lis e de M emória

MetlStorm firewire.py MetlStorm firewire.py

aeskeyfinder/rsakeyfinder

VolatilityVolatility Volatility

ptfinder (ptfinder_w2k.pl, ptfinder_xp.pl,

ptfinder_xpsp2.pl, ptfinder_w2003.pl


DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – Honeypots e Aná lis e de M a lw are

mwcollect

nephentesnephentes

Amun


DEFT4.1

Caine 0.4

PlainSight 0.1


U tilitá rios – B us ca de V ulnerabilidades

Nessus Nessus

nikto


0.4PlainSight

0.1


A lternativas

• PTK– Interface alternativa para o TSK

– Indexação de palavras-chave

– Análise de Memória• PyFLAG

– Correlação de múltiplas fontes forenses

– Indexação de palavras-chave

– Análise de Memória

– Network Forensics

– Versão Windows disponibilizada recentemente


A lternativas

• Multi Live DVDs– Um Live DVD, muitos ISOs dentro

• MultiISO Live DVD (BackTrack, OphCrack ...)• SUMO Linux (Helix, BackTrack ...)

– Nenhum completamente dedicado à Computação Forense (O que você está esperando ??)

• SANS SIFT– Máquina Virtual VMWare

– PTK

– Análise de Memória (Volatility)


Faça você mesmo !

• Escolha a base Linux (Ubuntu preferencialmente)• Retire o automount dos drives• Cuidado com swap e Journaling File Systems• Escolha pelo menos 2 utilitários para cada tarefa• Dê suporte ao máximo de Formatos de Imagens Forenses• Dê suporte ao máximo de hardwares conhecidos• Dê suporte ao máximo de Sistemas de Arquivos• Crie um esquema parecido com o do SIFT de permitir acesso às ferramentas

do Windows • Ferramentas praticamente obrigatórias:

– TSK– PTK– Xplico– Linen and GuyMager– Ddrescue– Foremost– Wireshark– Regripper– Volatility– John the ripper and OphCrack– Extract– Perl and Python support


R eferênc ias

• Helix– www.e-fense.com/helix

• FCCU– www.lnx4n6.be/

• FDTK– www.fdtk.com

• Caine– www.caine-live.net/en

• PlainSight– www.plainsight.info

• DEFT– www.deftlinux.net


R eferênc ias

• ForLex

– www.forlex.it/ • PTK

– ptk.dflabs.com/index.html• PyFLAG

– www.pyflag.net/ • SANS SIFT

– forensics.sans.org/community/downloads/• MultiISO Live DVD

– www.badfoo.net/• Sumo Linux

– sumolinux.suntzudata.com/


S u g e s t õ e s d e L e i t u r aS u g e s t õ e s d e L e i t u r a

http://forcomp.blogspot.com

http://www.e-evidence.info


O b r ig a d o !O b r ig a d o !

inv.forense arroba gmail ponto com

(Tony Rodrigues)

computação forense 0800 tony rodrigues

Technology