Download - 2. aquisicao
1
Informática Forense e Reengenharia
Mestrado em Engenharia de Segurança Informática
Escola Superior de Tecnologia e Gestão Instituto Politécnico de Beja
Francisco Luís
Informática Forense e Reengenharia
Sumário
� Testes� Validação� Esterilização� Aquisição
2
Nota prévia
� Técnicos / Analistas / Investigadoresresponsáveis por equipas de resposta aincidentes de segurança e/ou porexames forenses têm a necessidade(obrigação) de se manteremactualizados quanto a técnicas,ferramentas e conhecimentos paraacompanharem a constante evolução datecnologia
Informática Forense e Reengenharia
Ubuntu
� Novas distros permitem “automounting”• O dispositivo é mounted automaticamente
quando ligado
• Comportamento indesejado para efeitos forenses
� Para desligar o “automounting”• ALT+F2 - gconf-editor
• apps/nautilus/preferences
• media_automount
• media_automount_openInformática Forense e Reengenharia
3
Ubuntu
Informática Forense e Reengenharia
Informática Forense e Reengenharia
4
Disable Autorun
� Update for Windows XP (KB967715)
� Update for Windows Server 2003 for Itanium-based Systems(KB967715)
� Update for Windows Server 2003 x64 Edition (KB967715)
� Update for Windows Server 2003 (KB967715)
� Update for Windows XP x64 Edition (KB967715)
� Update for Windows 2000 (KB967715)
� Windows Vista-based and Windows Server 2008-basedsystems must have update 950582
Fonte: http://support.microsoft.com/kb/967715
Informática Forense e Reengenharia
Disable Autorun
� Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 ou Windows XP• Disable
• Microsoft Fix it 50471
• Enable• Microsoft Fix it 50475
� Não confundir com Microsoft Fix it 50061 – Desabilita USB na totalidade
Informática Forense e Reengenharia
5
Disable Autorun
� HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
� HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
� NoDriveTypeAutoRun
Informática Forense e Reengenharia
Value Meaning0x1 or 0x80 Disables AutoRun on drives of unknown type 0x4 Disables AutoRun on removable drives 0x8 Disables AutoRun on fixed drives 0x10 Disables AutoRun on network drives 0x20 Disables AutoRun on CD-ROM drives 0x40 Disables AutoRun on RAM disks 0xFF Disables AutoRun on all kinds of drives
USBWP
Informática Forense e Reengenharia
6
Validação
� Até os melhores produtos falham
� Testar e Validar (HW e SW) para assegurar que funcionamcomo deviam
� A fase de testes deve ser a primeira (familiarização com HW eSW)
� Validação assegura que o equipamento e SW funcionam emperfeitas condições e realizam apenas as operaçõespretendidas e não outras quaisquer
� Write blockers devem ser validados antes de serem usado(antes de cada aquisição) para assegurar que continuam atrabalhar correctamente e que protegem o dispositivo contraescrita
Informática Forense e Reengenharia
Testar um write blocker� Step # 1
• Esterilizar o dispositivo de teste e confirmar a sua esterilização;
• Formatá-lo
• Colocar alguma informação no mesmo
• Pre-hashing (sw#1)
• Criar uma imagem forense (binária) do dispositivo e calcular o MD5 (sw#2)
� Step # 2• Ligar o write blocker
• Ligar o dispositivo ao write blocker
� Step # 3• Tentar copiar, criar, renomear e apagar ficheiros do dispositivo
• Tentar formatar o dispositivo
• Criar uma segunda imagem forense (binária) do dispositivo e calcular o MD5 (sw#1)
• Post-hashing (sw#2);
• Comparar resultados entre os MD5 do Step #1 e do Step#3
Informática Forense e Reengenharia
7
Problemas
� Quando surgem problemas os mesmosdevem ser documentados (tipo deproblema e implicações)
� Substituição do HW ou SW e começardo zero
� Equipamento ou SW danificado deve serdescartado
Informática Forense e Reengenharia
Esterilização
� Wipe – Processo de escrita de cada byte nodispositivo com um valor hexadecimal conhecido,normalmente 0x00 (zero)
� Usar este valor permite verificar o processo comuma tool de checksum de 64-bit e confirmar que oresultado deste checksum é zero, o que significaque o dispositivo está limpo de forma forense –Esterilizado
� Uso de dispositivos esterilizados é mandatório deforma a assegurar que não existe informação nomesmo de uma utilização anterior
Informática Forense e Reengenharia
8
Esterilização
� Deve sempre ser feito antes de umdispositivo ser usado para armazenardados
� Quando se repõe uma imagem, quandose enviam dados para alguém, quandose vende equipamento ou se remetepara o “lixo”
Informática Forense e Reengenharia
Esterilização
� É importante ter em mente que quandose apagam todos os ficheiros ou seformata um dispositivo não é sinónimode wipe
� Quando se formata ou apaga umapartição, está-se a apagar o file system,ficando os dados “invisíveis” mas osmesmo não desaparecem, continuam aresidir no dispositivo
Informática Forense e Reengenharia
9
Esterilização
� Windows Vista / 7• Se a formatação for non-Quick Format é feita
uma passagem a zeros na partição• Atenção com outras partições do dispositivo
Informática Forense e Reengenharia
Esterilização
� Darik's Boot and Nuke ("DBAN")• http://www.dban.org/
� dcfldd• Defense Computer Forensics Lab
� wipe
Informática Forense e Reengenharia
10
Esterilização
� Wipe• dcfldd if=/dev/zero of=/dev/sdb bs=8k
conv=noerror,sync
� Verificação• cat /dev/sdb | od• jacksum
Informática Forense e Reengenharia
Limitações e custos
� O computador fica ocupado por horas• Ex: HDD com 4GB – 35 minutos
� Ignora remapped faulty sectors� Não limpa Device Configuration Overlay
(DCO), eventualmente limpa a HPA, seexistir• Pode ser usado para ludibriar quanto ao
tamanho da drive
Informática Forense e Reengenharia
11
Informática Forense e Reengenharia
Verificação WinHex
Informática Forense e Reengenharia
12
Forensic File Formats
� RAW (dd) : Free� Encase : Proprietary file format (.E??)� Ilook : Proprietary file format (.IDIF, .IRBF & .IEIF)� Advanced forensic format : Open format (.AFF)� Generic forensic zip: Open format (.gfzip)� FTK: Proprietary file format (.AD??)� SMART: Open format (.S??)
Fonte: http://www.forensicswiki.org/wiki/Forensic_file_formats
Informática Forense e Reengenharia
Forensic File Formats
� Problemas com ficheiros proprietários• Troca de informação entre países• Troca de informação entre departamentos da
mesma empresa• Análise pode requerer tools diferentes
Informática Forense e Reengenharia
13
Forensic File Formats
� Vantagens dos formatos “abertos”• Compatíveis com as tools gratuitas• Se houver uma massificação no uso, os
fabricantes das tools têm de passar asuportar
Informática Forense e Reengenharia
Forensic File Formats mais comuns
� RAW (dd)• Formato mais fácil de usar; rápido; tamanho (file systems (FAT32, ext2)
que não suportam ficheiros maiores de 4GB)• Todas as tools suportam• Admite split (file.000, file.001, file.002, etc.)
� Encase (.E01) — compressed format developed byExpert Witness / Guidance Software• Compressão• Divide ficheiros em volumes (file.E01, file.E02, etc.)• Não é suportado por algumas tools (file carvers, etc.)• Os ficheiros podem ser protegidos por password (mas não são
encriptados)
Informática Forense e Reengenharia
14
Forensic File Formats mais comuns
� AFF (AFF, AFD e AFM ) — compressedopen source format• Open Format — está tudo perfeitamente definido e documentado• Open Implementation — sem custos de licenciamento• Uma imagem por disco físico (>2GB) ou dividida em múltiplos
ficheiros (no formato .afd)• Suporta encriptação
• Password-based private key• Certificate-based public key
• Multi-platforma: Windows, MacOS, Linux, FreeBSD, etc.• Extensível (suporta metadata que pode ser acrescentada sempre
que necessário)
Informática Forense e Reengenharia
AFF
� Três tipos diferentes de ficheiros AFF files(todos têm a mesma estrutura de dados)• AFF – um único ficheiro “guarda” todos os segmentos
• AFD – pode ter múltiplos ficheiros, que são todosarmazenados na mesma directoria , cujo nome tem umaextensão “.afd”.
• AFM - armazena os dados num ou mais ficheiros raw eguarda a metadata num ficheiro em separado, que contéma estrutura standard do segmento. Há um ficheiro com aextensão “.afm” e os ficheiros raw têm o mesmo nome basee a extensão são números sequenciais
Informática Forense e Reengenharia
15
AFFlib
� A AFFlib Library é fácil de usar� Disponível para Win e Linux� Vem integrada no Sleuthkit� Possibilidade de adicionar metadata à
imagem� Comandos :
• aimage -m para criação de um ficheiro de texto (configuração) na current directory
• aimage /dev/sdx USB.aff
Informática Forense e Reengenharia
AFFlib
� AFFlib• afcat• afinfo• afconvert• afcompare• afstats• afxml
� Comandos:• Ex.: converter AFF image para raw dd:• afconvert -r -e dd image.aff
Informática Forense e Reengenharia
16
libewf
� Library para Encase file format em Linux(http://sourceforge.net/projects/libewf/)
� Suporta os formatos de ficheiro:• ewf• smart ewf• ftk• EnCase 1 – 6• LinEn 5 e 6
Informática Forense e Reengenharia
libewf
� ewfacquire• Aquisição de um device ou ficheiro
� ewfacquirestream• Aquisição do stdin (através de um pipe)
� ewfexport• Conversão entre formatos
� ewfinfo• Dá informação sobre o ficheiro
� ewfverify• Faz verificação de integridade
Informática Forense e Reengenharia
17
Aquisição
� ewfacquire /dev/sdb• Introduzir restante informação
Informática Forense e Reengenharia
Aquisição
� dcfldd if=/dev/sourcedrivehash=md5,sha256 hashwindow=10G md5log=md5.txt sha256log=sha256.txt \hashconv=after bs=512 conv=noerror,sync split=10G splitformat=aa of=driveimage.dd
� Resultado: • driveimage.dd.aa, driveimage.dd.ab, ...
Informática Forense e Reengenharia
18
Aquisição
� ftkimager /dev/sdb /home/USB - - e01� ftkimager /dev/sdb /home/USB - - s01� ftkimager /dev/sdb /home/USB
� O primeiro cria um ficheiro E01� O segundo cria um ficheiro S01 (SMART)� O terceiro cria um ficheiro raw (001)
� São criados ficheiros TXT com MD5 e SHA1
Informática Forense e Reengenharia
Velocidade
Informática Forense e Reengenharia
19
Prático
� Aquire E01 com FTK Imager (Win) –máxima compressão
� Aquire RAW com FTK Imager (Ubuntu)� Aquire E01com ewfaquire – sem
compressão
Informática Forense e Reengenharia
Prático
� Windows• AccessData® FTK® Imager 3.0.1.1467
� Linux• Listar os dispositivos: ftkimager -list-drives
• Após verificar que a nossa pen é /dev/sdb
• ftkimager /dev/sdb /home/USB• ewfacquire /dev/sdb
� Ver: http://accessdata.com/wp-content/uploads/2012/02/Using_Command_Line_Imager.pdf
Informática Forense e Reengenharia
20
Read only
� Depois de criar as imagens• chmod a-w NOME
Informática Forense e Reengenharia
Win FTK Imager
Informática Forense e Reengenharia
21
Ubuntu FTK Imager & ewfverify
Informática Forense e Reengenharia
� Testar hash para as diferentes imagens• find /home/ -type f | xargs -i md5sum "{}" >
md5.txt
� Porque é que dá diferente?
Informática Forense e Reengenharia
22
E01
Header Data CRC Data CRC Data CRC
Informática Forense e Reengenharia
md5sum
ewfverify
Conversão de formatos
� libewf• ewfexport HDD.E01 -t HDD.dd• ewfexport HDD.E01 > HDD.dd
� Sleuthkit :• img_cat HDD.E01 > HDD.dd
Informática Forense e Reengenharia
23
Imagem forense
� Processo de cópia (assegurando que o devicesource não é alterado), bit a bit, de toda a dataacessível no source device, incluindo file e RAMslack, unallocated space, ficheiros apagados,espaço não particionado e Host Protected Area. Aescrita deve ser feita na mesma ordem, paraficheiros (ex: EnCase .E01, .L01; FTK .E01, .AD1;Unix/Linux DD, RAW; Forensic File Format .AFF,SMART, etc.). A integridade destes ficheiros podeser verificada através de algoritmos de checksumvalues ou hash.
Informática Forense e Reengenharia
Imagem vs Cópia forense
� Uma cópia forense é o processo de cópia(assegurando que o dispositivo source não éalterado), bit a bit, de toda a data acessívelno source device e a sua escrita, na mesmaordem, para um destination device.
� A diferença reside no facto da imagemforense ter como destino ficheiros e a cópiaforense tem como destino outro device detamanho igual ou superior ao da source
Informática Forense e Reengenharia
24
Comandos
� Lista USB devices• lsusb
� Todos os storage devices e partições• sudo fdisk –l
� Mounted systems• mount
� Mount devices sem ser root• pmount <device> [ label ] • pumount <device>
Informática Forense e Reengenharia
Mount read only
� mkdir /media/USB
� mount -o ro /dev/sdb /media/USB
Informática Forense e Reengenharia