forense computacional em linux

8/9/2019 Forense Computacional em Linux

1/30

Eriberto nov. 09riberto nov. 09

Forenseorensecomputacionalomputacionalem Linux form Linux fordummiesummies

uma rpida visoma rpida visointrodutr iantrodutr iaJoo Eriberto Mota FilhoJoo Eriberto Mota FilhoBraslia, DF, 10 de novembro de 2009Braslia, DF, 10 de novembro de 2009CISL 2009


2/30


3/30


SumrioSumrio

O que forense computacional?O que forense computacional? Ataques via rede: o que fazer?Ataques via rede: o que fazer?

Medidas iniciais nas forensesMedidas iniciais nas forenses

Criao da imagem da mdia atacadaCriao da imagem da mdia atacada

Utilizao da imagem da mdia atacadaUtilizao da imagem da mdia atacada

O que buscar na anliseO que buscar na anlise

Alguns comandos e ferramentasAlguns comandos e ferramentas

Laudo da perciaLaudo da percia ConclusoConcluso


4/30


SumrioSumrio









5/30


O que forense computacional?O que forense computacional?

Forense computacionala cincia voltada para a Forense computacionala cincia voltada para aobteno, preservao e documentao de evidn-obteno, preservao e documentao de evidn-

cias, a partir de dispositivos de armazenagem ele-cias, a partir de dispositivos de armazenagem ele-

trnica digital, como computadores, pagers, PDAs,trnica digital, como computadores, pagers, PDAs,

cmeras digitais, telefones celulares e vrios outroscmeras digitais, telefones celulares e vrios outros

dispositivos de armazenamento em memria. Tudodispositivos de armazenamento em memria. Tudodever ser feito para preservar o valor comproba-dever ser feito para preservar o valor comproba-

trio das evidncias e para assegurar que isto possatrio das evidncias e para assegurar que isto possa

ser utilizado em procedimentos legais.ser utilizado em procedimentos legais.

(An introduction to Computer Forensics,(An introduction to Computer Forensics,

Information Security and Forensics Society, abr. 04,Information Security and Forensics Society, abr. 04,

disponvel em http://www.isfs.org.hk/publications/public.htm)disponvel em http://www.isfs.org.hk/publications/public.htm)


6/30


O que forense computacional?O que forense computacional?

Ento...Ento...

A forense computacional busca, em dispositivos deA forense computacional busca, em dispositivos de

armazenamento, evidncias de aes incompatveis,armazenamento, evidncias de aes incompatveis,danosas ou criminosas.danosas ou criminosas.

Tais aes podem ser locais ou remotas (via rede).Tais aes podem ser locais ou remotas (via rede).

Geralmente, as citadas aes esto relacionadas a roubo deGeralmente, as citadas aes esto relacionadas a roubo de

informaes, fraudes, pedofilia, defacements, intruses einformaes, fraudes, pedofilia, defacements, intruses ecrimes cibernticos em geral.crimes cibernticos em geral.


7/30


SumrioSumrio









8/30


Ataques via rede: o que fazer?Ataques via rede: o que fazer?

Em um razovel nmero de vezesEm um razovel nmero de vezes, forenses so, forenses so conduzidasconduzidasememvirtudevirtude dede ataquesataques remotos (via rede).remotos (via rede).

Aps um ataque remoto:Aps um ataque remoto:

> Desconecte, imediatamente, o cabo de rede.> Desconecte, imediatamente, o cabo de rede.

> NUNCA desligue a mquina (considerando que o atacante no> NUNCA desligue a mquina (considerando que o atacante noo tenha feito remotamente).o tenha feito remotamente).

> No toque na mquina (nem mesmo faa login).> No toque na mquina (nem mesmo faa login).

> Chame, imediatamente, um perito para realizar a forense.> Chame, imediatamente, um perito para realizar a forense.

> Acompanhe, se possvel, todo o trabalho do perito.> Acompanhe, se possvel, todo o trabalho do perito.


9/30


SumrioSumrio









10/30



Ao tomar o primeiro contato com a mquina atacada, caso a Ao tomar o primeiro contato com a mquina atacada, caso amesma ainda esteja ligada, o perito dever:mesma ainda esteja ligada, o perito dever:

Inserir, em uma porta USB, um pendrive de boaInserir, em uma porta USB, um pendrive de boa capacidadecapacidade(16 GB?) ou um HD externo para colher dados (nunca(16 GB?) ou um HD externo para colher dados (nuncagravargravar nadanada nono discodisco da mquina atacada).da mquina atacada).

Logar como root e montar o dispositivo externo (/mnt?).Logar como root e montar o dispositivo externo (/mnt?).

Gravar no dispositivo externo os seguintes dados:Gravar no dispositivo externo os seguintes dados:

> Um dump de memria, com # dd if=/dev/mem> Um dump de memria, com # dd if=/dev/mem

of=/mnt/mem. (esta tem que ser a primeira ao)of=/mnt/mem. (esta tem que ser a primeira ao)> A situao de memria, com # free -m > /mnt/free.> A situao de memria, com # free -m > /mnt/free.

> Os processos ativos, com # ps aux > /mnt/ps.> Os processos ativos, com # ps aux > /mnt/ps.

continua...continua...


11/30



continuando...continuando...

> O tempo de vida da mquina, com # uptime > /mnt/uptime.> O tempo de vida da mquina, com # uptime > /mnt/uptime.

> As conexes e portas abertas, com # netstat -tunap >> As conexes e portas abertas, com # netstat -tunap >/mnt/netstat./mnt/netstat.

> A relao de pacotes instalados (no Debian, pode-se usar #> A relao de pacotes instalados (no Debian, pode-se usar #COLUMNS=110 dpkg -l > /mnt/pacotes).COLUMNS=110 dpkg -l > /mnt/pacotes).

> Data e hora da mquina, com # date > /mnt/date (anote a> Data e hora da mquina, com # date > /mnt/date (anote ahora do seu relgio neste momento, para uma comparaohora do seu relgio neste momento, para uma comparaofutura).futura).

> Usurios logados, com # w > /mnt/w> Usurios logados, com # w > /mnt/w

> Utilizao de discos, com # df -hT > /mnt/df> Utilizao de discos, com # df -hT > /mnt/df

> O kernel utilizado, com # uname -a > /mnt/uname> O kernel utilizado, com # uname -a > /mnt/uname

continua...continua...


12/30



continuando...continuando...

Desmontar e remover o dispositivo externo.Desmontar e remover o dispositivo externo.

Verificar, em outra mquina, se realmente foi gravado todoVerificar, em outra mquina, se realmente foi gravado todoo contedo necessrio no dispositivo externo.o contedo necessrio no dispositivo externo.

Desligar a mquina sem permitir que a mesma grave dadosDesligar a mquina sem permitir que a mesma grave dadosno disco. Para isso, apertar o boto reset e, em seguida,no disco. Para isso, apertar o boto reset e, em seguida,desligar a energia para evitar um novo boot.desligar a energia para evitar um novo boot.


13/30


SumrioSumrio









14/30



Todo o trabalho de forense dever ser realizado em umaTodo o trabalho de forense dever ser realizado em umacpia da mdia atacada (imagem).cpia da mdia atacada (imagem).

Para criar a imagem:Para criar a imagem:

Adicionar um HD de capacidade maior do que o da Adicionar um HD de capacidade maior do que o da

mquina atacada.mquina atacada. Inicializar a mquina atacada com um live CD voltado paraInicializar a mquina atacada com um live CD voltado para

forense (sugesto: Insert) ou pendrive com Linuxforense (sugesto: Insert) ou pendrive com Linux(sugesto: http://tiny.cc/pendrive_debian).(sugesto: http://tiny.cc/pendrive_debian).

Montar apenas a partio do HD adicional (a que irMontar apenas a partio do HD adicional (a que irreceber as imagens).receber as imagens).

Criar uma imagem do HD comprometido, por inteiro, noCriar uma imagem do HD comprometido, por inteiro, nonovo HD.novo HD.


15/30



Aps a criao da imagem do HD, calcular, pelo menos, doisAps a criao da imagem do HD, calcular, pelo menos, doishashes de tais imagens (pelo menos um dever ser SHA2)hashes de tais imagens (pelo menos um dever ser SHA2)..

Todo o processo de abertura da mquina comprometida,Todo o processo de abertura da mquina comprometida,criao da imagem e clculo dos hashes dever sercriao da imagem e clculo dos hashes dever seracompanhado por duas testemunhas.acompanhado por duas testemunhas.

Ao final da operao, dever ser gerado um certificado de Ao final da operao, dever ser gerado um certificado deintegridade, contendo o nome do perito, das testemunhas eintegridade, contendo o nome do perito, das testemunhas eos hashes obtidos. Todos devero assinar o certificado, queos hashes obtidos. Todos devero assinar o certificado, queser um dos anexos ao laudo pericial.ser um dos anexos ao laudo pericial.

O HD original dever ser lacrado na presena de todos eO HD original dever ser lacrado na presena de todos eentregue para autoridade competente. O nmero dos lacresentregue para autoridade competente. O nmero dos lacresdever constar no laudo.dever constar no laudo.


16/30



Mdias danificadas (HD, pendrive, CD-ROM) podero ter oMdias danificadas (HD, pendrive, CD-ROM) podero ter oseu contedo parcial copiado com o comando dd_rescue.seu contedo parcial copiado com o comando dd_rescue.Isso ir gerar um fragmento auditvel com ferramentasIsso ir gerar um fragmento auditvel com ferramentasespeciais.especiais.


17/30



Caso seja necessrio trabalhar em cada partio do HD,Caso seja necessrio trabalhar em cada partio do HD,bastar escrever a imagem em um outro HD de maiorbastar escrever a imagem em um outro HD de maiorcapacidadecapacidade. Isso poder ser feito com o comando dd.. Isso poder ser feito com o comando dd.

muito importante preservar ao mximo a imagem muito importante preservar ao mximo a imagemoriginal. Uma idia trabalhar todo o tempo em uma cpiaoriginal. Uma idia trabalhar todo o tempo em uma cpiada mesma.da mesma.


18/30



Exemplo de criao de imagens:Exemplo de criao de imagens: HD comprometido: /dev/sda.HD comprometido: /dev/sda.

2 HD: possui uma nica partio, a /dev/sdb1.2 HD: possui uma nica partio, a /dev/sdb1.

Criao das imagens (/dev/sdb1 montado em /mnt):Criao das imagens (/dev/sdb1 montado em /mnt):

# dd if=/dev/sda of=/mnt/sda_raiz.img# dd if=/dev/sda of=/mnt/sda_raiz.img

Caso seja necessrio usar as parties da imagem, em outroCaso seja necessrio usar as parties da imagem, em outroHD (/dev/sdb, por exemplo), escrever a imagem com oHD (/dev/sdb, por exemplo), escrever a imagem com ocomando:comando:

# dd if=/mnt/sda_raiz.img of=/dev/sdb# dd if=/mnt/sda_raiz.img of=/dev/sdb

O comando anterior criar um clone do HD original. NOO comando anterior criar um clone do HD original. NOacesse o contedo diretamente.acesse o contedo diretamente. Crie uma imagem de cadaCrie uma imagem de cadapartio disponvel. Isso facilitar o trabalho.partio disponvel. Isso facilitar o trabalho.


19/30


SumrioSumrio









20/30



Os arquivos de imagens (completo ou das parties)Os arquivos de imagens (completo ou das parties)podero ser analisados diretamente ou montados em outrapodero ser analisados diretamente ou montados em outramquina (somente as parties, exceto se for swap).mquina (somente as parties, exceto se for swap).

As imagens das parties devero ser montadas como loopAs imagens das parties devero ser montadas como loop(por ser arquivo) e read-only (para no alterar o contedo).(por ser arquivo) e read-only (para no alterar o contedo).

Exemplo:Exemplo:

# mount -o loop,ro /mnt/sda1_raiz.img /forense# mount -o loop,ro /mnt/sda1_raiz.img /forense

Arquivos de swap so extenso da memria e no possuemArquivos de swap so extenso da memria e no possuem

filesystem. Ento, sero analisados sem montagem (no filesystem. Ento, sero analisados sem montagem (no possvel mont-los).possvel mont-los).


21/30


SumrioSumrio









22/30



Inicie a forense ouvindo os fatos para tentar deduzir algoInicie a forense ouvindo os fatos para tentar deduzir algorelevante que leve seleo de um ponto inicial. Exemplo:relevante que leve seleo de um ponto inicial. Exemplo:em defacements, comear pela anlise do /var/www.em defacements, comear pela anlise do /var/www.

Analise os logs.Analise os logs.

Analise a memria, o swap e os diretrios /tmp e /var/tmp.Analise a memria, o swap e os diretrios /tmp e /var/tmp. Analise o diretrio /home. Analise o diretrio /home.

Analise o diretrio /etc. Analise o diretrio /etc.

Procure por rastros do seu oponente.Procure por rastros do seu oponente.

Busque por rootkits e backdoors.Busque por rootkits e backdoors.

Verifique se o sistema operacional estava atualizado. Verifique se o sistema operacional estava atualizado.


23/30



Busque, em imagens, por arquivos relevantes apagados.Busque, em imagens, por arquivos relevantes apagados. Arquivos de MS Office e BrOffice,Org suspeitos devem serArquivos de MS Office e BrOffice,Org suspeitos devem ser

analisados profundamente. Comece pelas propriedades doanalisados profundamente. Comece pelas propriedades domesmo.mesmo.

Seja inteligente, criativo e perseverante.Seja inteligente, criativo e perseverante.


24/30


SumrioSumrio









25/30



Instale o sleuthkit (no Debian, # apt-get install sleuthkit;Instale o sleuthkit (no Debian, # apt-get install sleuthkit;para ver comandos: # dpkg -L sleuthkit | grep /usr/bin).para ver comandos: # dpkg -L sleuthkit | grep /usr/bin).

Use e abuse de # ls -lua e # ls -lta.Use e abuse de # ls -lua e # ls -lta.

Garimpe imagens e arquivos com strings + grep. OGarimpe imagens e arquivos com strings + grep. O

comando strings, no Debian, est no pacote binutils.comando strings, no Debian, est no pacote binutils. Procure por rootkits com chkrootkit e rkhunter. Exemplos:Procure por rootkits com chkrootkit e rkhunter. Exemplos:

# chkrootkit -r /forense# chkrootkit -r /forense

# rkhunter --update; rkhunter -c -r /forense# rkhunter --update; rkhunter -c -r /forense

Procure por worms com o clamscan (# apt-get installProcure por worms com o clamscan (# apt-get installclamav). Exemplo:clamav). Exemplo:

# freshclam; clamscan -r /forense# freshclam; clamscan -r /forense


26/30



Utilize o comando find para procurar por arquivos criadosUtilize o comando find para procurar por arquivos criadosou modificados nos ltimos 2 dias. Exemplo:ou modificados nos ltimos 2 dias. Exemplo:

# find /forense/ -mtime -2 -print# find /forense/ -mtime -2 -print

Utilize os comandos magicrescue e foremost para buscarUtilize os comandos magicrescue e foremost para buscar

arquivos apagados em imagens. Os mesmos comandosarquivos apagados em imagens. Os mesmos comandostambm sero teis em fragmentos de imagens ou imagenstambm sero teis em fragmentos de imagens ou imagenscom filesystems corrompidos.com filesystems corrompidos.

UUtilize hexdump e hexedit para poder acessar qualquertilize hexdump e hexedit para poder acessar qualquercontedo em hexadecimal ou ASCII (mesmo emcontedo em hexadecimal ou ASCII (mesmo emfragmentos).fragmentos).

Estude muito!!! (apt-cache search forensic).Estude muito!!! (apt-cache search forensic).

DEMONSTRAO.DEMONSTRAO.


27/30


SumrioSumrio









28/30


Laudo da perciaLaudo da percia

No h um modelo especfico para laudo ou relatrio deNo h um modelo especfico para laudo ou relatrio deforense.forense.

Alguns dados interessantes para a composio do laudo:Alguns dados interessantes para a composio do laudo:

> Dados pessoais do perito.> Dados pessoais do perito.

> Perodo da realizao da forense.> Perodo da realizao da forense.> Breve relato do ocorrido (notcias iniciais).> Breve relato do ocorrido (notcias iniciais).

> Dados gerais sobre a mquina e/ou sistema atacado (nome da> Dados gerais sobre a mquina e/ou sistema atacado (nome damquina, portas abertas, parties existentes etc).mquina, portas abertas, parties existentes etc).

> Detalhamento dos procedimentos realizados.> Detalhamento dos procedimentos realizados.

> Dados e fatos relevantes encontrados.> Dados e fatos relevantes encontrados.

> Concluso e recomendaes.> Concluso e recomendaes.

> Apndices e anexos.> Apndices e anexos.


29/30


SumrioSumrio









30/30


ConclusoConcluso

A percia forense busca encontrar dados relevantes, emA percia forense busca encontrar dados relevantes, emmeios de armazenagem digital, com o intuito de levantarmeios de armazenagem digital, com o intuito de levantarprovas sobre um fato.provas sobre um fato.

Um perito forense deve conhecer profundamente o sistemaUm perito forense deve conhecer profundamente o sistemaoperacional que ele ir investigar.operacional que ele ir investigar.

A astcia e a criatividade so essenciais em qualquerA astcia e a criatividade so essenciais em qualquerinvestigao.investigao.

Esta palestra est disponvel emEsta palestra est disponvel em

http://www.eriberto.pro.brhttp://www.eriberto.pro.br

forense computacional em linux

Documents