perÍcia em informÁtica
DESCRIPTION
PERÍCIA EM INFORMÁTICA. Aula 07 – Principais desafios em exames forenses em dispositivos de armazenamento computacional Curso de Sistemas de Informação. Prof. Diovani Milhorim. Exames em dispositivos de armazenamento. E xames em dispositivos de armazenamento. - PowerPoint PPT PresentationTRANSCRIPT
PERÍCIA EM INFORMÁTICA
Aula 07 – Principais desafios em exames forenses em dispositivos de armazenamento computacional
Curso de Sistemas de Informação.Prof. Diovani Milhorim
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Durante a perícia em dispositivos de armazenamento algumas dificuldades podem ser enfretadas pelo técnico, tais como:
• Quantidade de arquivos analisados.• Existência de senhas• Engenharia reversa• Criptografia• Esteganografia
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Quantidade de arquivos analisados.
Um sistema operacional moderno pode ter até mais de um milhão de arquivos. Como localizar as evidências requisitadas?
• Uso de filtros (KFF, autopsya, etc...• Busca por palavras chaves• Requisitos bem definidos (saber o que se procura)
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• É comum se encontrar arquivos protegidos por senhas( zip, pdf, word, etc...). Neste caso será necessários se “quebrar” a senha por meio de técnicas específicas, tais como:
• Ataque de força bruta• Ataque de dicionário• Utilização de rainbow tables• Engenharia social
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Ataque de força bruta
Descoberta de senha por método de tentativa e erro, em que todas as combinações de um domínio predefinidos são testadas até que se acerte a senha.
Dominio: parâmetros para composição de candidatos a senha.Ex: número de caracteresMaiúsculas e minúsculasUso de caracteres especiais.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Ataque de força bruta
Demanda muito esforço computacional e pode demorar muito tempo.O uso de softwares especiais para a tarefa é necessário. Ex:
• Passware kit enterprise• Password recovery bundle• AdvancedZip Password recovery• AdvancedRar Password recovery• Advanced Pdf password recovery• Password recovery kit• Ophcrack (recuperar senhas de sistemas op. Microsoft)
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Ataque de dicionário
Outro método de tentativa e erro, mas diferente do método de força bruta o domínio de senhas é constituído de palavras prontas. Tais palavras são armazenadas em uma lista chamada de “dicionário”.
Geralmente são mais eficientes do que o ataque de força bruta desde que o dicionário utilizado seja adequado.
Uma boa proposta é gerar o dicionário com palavras extraidas do dispositivo analisado.
O FTK possui dicionários que podem ser baixados da internet.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Engenharia social:
Consiste em descobrir a senha de arquivos e sistemas a partir de entrevistas com as pessoas envolvidas no caso.
• Em alguns casos pergunte a senha.• Em caso de senhas de softwares utilize senhas default de fabricantes.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Rainbow tables:
Softwares que se utilizam de tabelas de hash pré compiladas. Trata-se de um método de tentativa e erro para senhas que se utilizam de hash para encobrir seu conteúdo. Onde achar:
• Freerainbowtables.com• Rainbowtables.shmoo.com
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Engenharia reversa e alteração de código fonte
Engenharia reversa.
“Processo que consiste basicamente em analisar um programa, a fim de criar uma representação de alto nível, ou seja, recuperar um projeto de software para que ele possa ser entendido.”
Pressman(2006)
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Engenharia reversa e alteração de código fonte
Engenharia reversa.
Consiste em analisar arquivos executáveis de um programa, alterando seu código, com o objetivo de suprimir a necessidade de senha para acesso a este programa.
Processo muito técnico e minucioso que exige conhecimentos específicos do perito.
Uso de softwares especializados geralmente é necessário.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Criptografia
Criptografia é uma técnica utilizada para transformar uma informação na sua forma original para outra ilegível.
Algoritmos complexos são estudados e inventados a fim de proteger as informações e dificultar o processo inverso.
Cabe ao perito vasculhar o dispositivo de armazenamento a fim de localizar algum software de criptografia.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Esteganografia
• Técnica que consiste de ocultar uma mensagem dentro de outra.
• Enquanto a criptografia tenta codificar o conteúdo, a esteganografia tenta “camuflar a mensagem”.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Esteganografia
• Exemplo: técnica extremamente simples de esteganofria.
Frase: Onde um ritmo ouve sinos
Primeira letra de cada palavra: OUROS
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Esteganografia
• É comum o uso de esteganografia com criptografia, gerando mensagens de decodificação extremamente difícil.
• O primeiro passo na decodificação é descobrir os métodos utilizados.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Prática:
• Uso do Passware Kit enterprise.