2. aquisicao
Upcoming SlideShare
Loading in...5
×
 

2. aquisicao

on

  • 236 views

 

Statistics

Views

Total Views
236
Views on SlideShare
236
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

2. aquisicao 2. aquisicao Document Transcript

  • Informática Forense e Reengenharia Mestrado em Engenharia de Segurança Informática Escola Superior de Tecnologia e Gestão Instituto Politécnico de Beja Francisco Luís Sumário Testes Validação Esterilização Aquisição Informática Forense e Reengenharia 1
  • Nota prévia Técnicos / Analistas / Investigadores responsáveis por equipas de resposta a incidentes de segurança e/ou por exames forenses têm a necessidade (obrigação) de se manterem actualizados quanto a técnicas, ferramentas e conhecimentos para acompanharem a constante evolução da tecnologia Informática Forense e Reengenharia Ubuntu Novas distros permitem “automounting” •O dispositivo quando ligado é mounted automaticamente • Comportamento indesejado para efeitos forenses Para desligar o “automounting” • ALT+F2 - gconf-editor • apps/nautilus/preferences • media_automount • media_automount_open Informática Forense e Reengenharia 2
  • Ubuntu Informática Forense e Reengenharia Informática Forense e Reengenharia 3
  • Disable Autorun Update for Windows XP (KB967715) Update for Windows Server 2003 for Itanium-based Systems (KB967715) Update for Windows Server 2003 x64 Edition (KB967715) Update for Windows Server 2003 (KB967715) Update for Windows XP x64 Edition (KB967715) Update for Windows 2000 (KB967715) Windows Vista-based and Windows Server 2008-based systems must have update 950582 Fonte: http://support.microsoft.com/kb/967715 Informática Forense e Reengenharia Disable Autorun Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 ou Windows XP • Disable • Microsoft Fix it 50471 • Enable • Microsoft Fix it 50475 Não confundir com Microsoft Fix it 50061 – Desabilita USB na totalidade Informática Forense e Reengenharia 4
  • Disable Autorun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorer NoDriveTypeAutoRun Value 0x1 or 0x80 0x4 0x8 0x10 0x20 0x40 0xFF Meaning Disables AutoRun Disables AutoRun Disables AutoRun Disables AutoRun Disables AutoRun Disables AutoRun Disables AutoRun on drives of unknown type on removable drives on fixed drives on network drives on CD-ROM drives on RAM disks on all kinds of drives Informática Forense e Reengenharia USBWP Informática Forense e Reengenharia 5
  • Validação Até os melhores produtos falham Testar e Validar (HW e SW) para assegurar que funcionam como deviam A fase de testes deve ser a primeira (familiarização com HW e SW) Validação assegura que o equipamento e SW funcionam em perfeitas condições e realizam apenas as operações pretendidas e não outras quaisquer Write blockers devem ser validados antes de serem usado (antes de cada aquisição) para assegurar que continuam a trabalhar correctamente e que protegem o dispositivo contra escrita Informática Forense e Reengenharia Testar um write blocker Step # 1 • • • • • Esterilizar o dispositivo de teste e confirmar a sua esterilização; Formatá-lo Colocar alguma informação no mesmo Pre-hashing (sw#1) Criar uma imagem forense (binária) do dispositivo e calcular o MD5 (sw#2) Step # 2 • • Ligar o write blocker Ligar o dispositivo ao write blocker Step # 3 • • • • • Tentar copiar, criar, renomear e apagar ficheiros do dispositivo Tentar formatar o dispositivo Criar uma segunda imagem forense (binária) do dispositivo e calcular o MD5 (sw#1) Post-hashing (sw#2); Comparar resultados entre os MD5 do Step #1 e do Step#3 Informática Forense e Reengenharia 6
  • Problemas Quando surgem problemas os mesmos devem ser documentados (tipo de problema e implicações) Substituição do HW ou SW e começar do zero Equipamento ou SW danificado deve ser descartado Informática Forense e Reengenharia Esterilização Wipe – Processo de escrita de cada byte no dispositivo com um valor hexadecimal conhecido, normalmente 0x00 (zero) Usar este valor permite verificar o processo com uma tool de checksum de 64-bit e confirmar que o resultado deste checksum é zero, o que significa que o dispositivo está limpo de forma forense – Esterilizado Uso de dispositivos esterilizados é mandatório de forma a assegurar que não existe informação no mesmo de uma utilização anterior Informática Forense e Reengenharia 7
  • Esterilização Deve sempre ser feito antes de um dispositivo ser usado para armazenar dados Quando se repõe uma imagem, quando se enviam dados para alguém, quando se vende equipamento ou se remete para o “lixo” Informática Forense e Reengenharia Esterilização É importante ter em mente que quando se apagam todos os ficheiros ou se formata um dispositivo não é sinónimo de wipe Quando se formata ou apaga uma partição, está-se a apagar o file system, ficando os dados “invisíveis” mas os mesmo não desaparecem, continuam a residir no dispositivo Informática Forense e Reengenharia 8
  • Esterilização Windows Vista / 7 • Se a formatação for non-Quick Format é feita • uma passagem a zeros na partição Atenção com outras partições do dispositivo Informática Forense e Reengenharia Esterilização Darik's Boot and Nuke ("DBAN") • http://www.dban.org/ dcfldd • Defense Computer Forensics Lab wipe Informática Forense e Reengenharia 9
  • Esterilização Wipe • dcfldd if=/dev/zero of=/dev/sdb bs=8k conv=noerror,sync Verificação • cat /dev/sdb | od • jacksum Informática Forense e Reengenharia Limitações e custos O computador fica ocupado por horas • Ex: HDD com 4GB – 35 minutos Ignora remapped faulty sectors Não limpa Device Configuration Overlay (DCO), eventualmente limpa a HPA, se existir • Pode ser usado para ludibriar quanto ao tamanho da drive Informática Forense e Reengenharia 10
  • Informática Forense e Reengenharia Verificação WinHex Informática Forense e Reengenharia 11
  • Forensic File Formats RAW (dd) : Free Encase : Proprietary file format (.E??) Ilook : Proprietary file format (.IDIF, .IRBF & .IEIF) Advanced forensic format : Open format (.AFF) Generic forensic zip: Open format (.gfzip) FTK: Proprietary file format (.AD??) SMART: Open format (.S??) Fonte: http://www.forensicswiki.org/wiki/Forensic_file_formats Informática Forense e Reengenharia Forensic File Formats Problemas com ficheiros proprietários • Troca de informação entre países • Troca de informação entre departamentos da • mesma empresa Análise pode requerer tools diferentes Informática Forense e Reengenharia 12
  • Forensic File Formats Vantagens dos formatos “abertos” • Compatíveis com as tools gratuitas • Se houver uma massificação no uso, os fabricantes das tools têm de passar a suportar Informática Forense e Reengenharia Forensic File Formats mais comuns RAW (dd) • Formato mais fácil de usar; rápido; tamanho (file systems (FAT32, ext2) • • que não suportam ficheiros maiores de 4GB) Todas as tools suportam Admite split (file.000, file.001, file.002, etc.) Encase (.E01) — compressed format developed by Expert Witness / Guidance Software • Compressão • Divide ficheiros em volumes (file.E01, file.E02, etc.) • Não é suportado por algumas tools (file carvers, etc.) • Os ficheiros podem ser protegidos por password (mas não são encriptados) Informática Forense e Reengenharia 13
  • Forensic File Formats mais comuns AFF (AFF, AFD e AFM ) — compressed open source format • Open Format — está tudo perfeitamente definido e documentado • Open Implementation — sem custos de licenciamento • Uma imagem por disco físico (>2GB) ou dividida em múltiplos • ficheiros (no formato .afd) Suporta encriptação • • • • Password-based private key Certificate-based public key Multi-platforma: Windows, MacOS, Linux, FreeBSD, etc. Extensível (suporta metadata que pode ser acrescentada sempre que necessário) Informática Forense e Reengenharia AFF Três tipos diferentes de ficheiros AFF files (todos têm a mesma estrutura de dados) • • • AFF – um único ficheiro “guarda” todos os segmentos AFD – pode ter múltiplos ficheiros, que são todos armazenados na mesma directoria , cujo nome tem uma extensão “.afd”. AFM - armazena os dados num ou mais ficheiros raw e guarda a metadata num ficheiro em separado, que contém a estrutura standard do segmento. Há um ficheiro com a extensão “.afm” e os ficheiros raw têm o mesmo nome base e a extensão são números sequenciais Informática Forense e Reengenharia 14
  • AFFlib A AFFlib Library é fácil de usar Disponível para Win e Linux Vem integrada no Sleuthkit Possibilidade de adicionar metadata à imagem Comandos: • • aimage -m para criação de um ficheiro de texto (configuração) na current directory aimage /dev/sdx USB.aff Informática Forense e Reengenharia AFFlib AFFlib • afcat • afinfo • afconvert • afcompare • afstats • afxml Comandos: • • Ex.: converter AFF image para raw dd: afconvert -r -e dd image.aff Informática Forense e Reengenharia 15
  • libewf Library para Encase file format em Linux (http://sourceforge.net/projects/libewf/) Suporta os formatos de ficheiro: • ewf • smart ewf • ftk • EnCase 1 – 6 • LinEn 5 e 6 Informática Forense e Reengenharia libewf ewfacquire • Aquisição de um device ou ficheiro ewfacquirestream • Aquisição do stdin (através de um pipe) ewfexport • Conversão entre formatos ewfinfo • Dá informação sobre o ficheiro ewfverify • Faz verificação de integridade Informática Forense e Reengenharia 16
  • Aquisição ewfacquire /dev/sdb • Introduzir restante informação Informática Forense e Reengenharia Aquisição dcfldd if=/dev/sourcedrive hash=md5,sha256 hashwindow=10G md5log=md5.txt sha256log=sha256.txt hashconv=after bs=512 conv=noerror,sync split=10G splitformat=aa of=driveimage.dd Resultado: • driveimage.dd.aa, driveimage.dd.ab, ... Informática Forense e Reengenharia 17
  • Aquisição ftkimager /dev/sdb /home/USB - - e01 ftkimager /dev/sdb /home/USB - - s01 ftkimager /dev/sdb /home/USB O primeiro cria um ficheiro E01 O segundo cria um ficheiro S01 (SMART) O terceiro cria um ficheiro raw (001) São criados ficheiros TXT com MD5 e SHA1 Informática Forense e Reengenharia Velocidade Informática Forense e Reengenharia 18
  • Prático Aquire E01 com FTK Imager (Win) – máxima compressão Aquire RAW com FTK Imager (Ubuntu) Aquire E01com ewfaquire – sem compressão Informática Forense e Reengenharia Prático Windows • AccessData® FTK® Imager 3.0.1.1467 Linux • Listar os dispositivos: ftkimager -list-drives • Após verificar que a nossa pen é /dev/sdb • • ftkimager /dev/sdb /home/USB ewfacquire /dev/sdb Ver: http://accessdata.com/wpcontent/uploads/2012/02/Using_Command_Line_Imager.pdf Informática Forense e Reengenharia 19
  • Read only Depois de criar as imagens • chmod a-w NOME Informática Forense e Reengenharia Win FTK Imager Informática Forense e Reengenharia 20
  • Ubuntu FTK Imager & ewfverify Informática Forense e Reengenharia Testar hash para as diferentes imagens • find /home/ -type f | xargs -i md5sum "{}" > md5.txt Porque é que dá diferente? Informática Forense e Reengenharia 21
  • E01 ewfverify Header Data CRC Data CRC Data CRC md5sum Informática Forense e Reengenharia Conversão de formatos libewf • ewfexport HDD.E01 -t HDD.dd • ewfexport HDD.E01 > HDD.dd Sleuthkit : • img_cat HDD.E01 > HDD.dd Informática Forense e Reengenharia 22
  • Imagem forense Processo de cópia (assegurando que o device source não é alterado), bit a bit, de toda a data acessível no source device, incluindo file e RAM slack, unallocated space, ficheiros apagados, espaço não particionado e Host Protected Area. A escrita deve ser feita na mesma ordem, para ficheiros (ex: EnCase .E01, .L01; FTK .E01, .AD1; Unix/Linux DD, RAW; Forensic File Format .AFF, SMART, etc.). A integridade destes ficheiros pode ser verificada através de algoritmos de checksum values ou hash. Informática Forense e Reengenharia Imagem vs Cópia forense Uma cópia forense é o processo de cópia (assegurando que o dispositivo source não é alterado), bit a bit, de toda a data acessível no source device e a sua escrita, na mesma ordem, para um destination device. A diferença reside no facto da imagem forense ter como destino ficheiros e a cópia forense tem como destino outro device de tamanho igual ou superior ao da source Informática Forense e Reengenharia 23
  • Comandos Lista USB devices • lsusb Todos os storage devices e partições • sudo fdisk –l Mounted systems • mount Mount devices sem ser root • pmount <device> [ label ] • pumount <device> Informática Forense e Reengenharia Mount read only mkdir /media/USB mount -o ro /dev/sdb /media/USB Informática Forense e Reengenharia 24
  • Obrigado francisco.m.luis@gmail.com Informática Forense e Reengenharia 25