1

EDITORIAL

Nesta segunda Edição, a Revista Evidência Digital está Editor Chefe

trazendo aos seus leitores um ótimo trabalho apresentado no
curso “Introducción a la Informática Forense”, desenvolvido Andrey R. Freitas
pelos alunos da Universidad de los Andes (Bogotá –
Colômbia) sobre o F.I.R.E. : Forensic Incident Response
Environment. Editor Técnico

Andrey R. Freitas
Relacionamos também os principais cursos e eventos sobre o
tema Segurança/Perícia, dentre eles destacamos o 1ª Batori
Security Day : realizado pela empresa Batori Security em São Colaboradores desta edição
Paulo/SP, o curso Forense Computacional – Conceitos,
Técnicas e Ferramentas para Investigação e Perícia Digital : Andrey R. Freitas
realizado pela empresa Axur também em São Paulo/SP e o Camilo Vergara
ICCyber´2004 : I Conferência Internacional de Perícias em Carlos I. Ospina
Crimes Cibernéticos em Brasília/DF. F. F. Ramos
Igor Silva
Jaime A. Rojas
Agradeço a todos os colaboradores que enviaram seus artigos José Edmir P. Duque
para a conclusão desta edição e aos participantes do grupo Juan F. Carrillo
Perícia Forense Aplicada à Informática. Mauricio Rangel
Salomão de Oliveira

Boa leitura.
Artigos

Andrey Rodrigues de Freitas Se você deseja escrever artigos para a Revista

Criador / Moderador do grupo Perícia Forense Aplicada à Informática Evidência Digital envie um e-mail para
periciaforense@yahoo.com.br

Atendimento ao leitor

periciaforense@yahoo.com.br

Site

www.guiatecnico.com.br/EvidenciaDigital

Grupo de discussão

br.groups.yahoo.com/group/PericiaForense/

A Revista Evidência Digital é uma publicação

trimestral.

O conteúdo dos artigos é de responsabilidade dos

autores.

2
NOTÍCIAS
Preso suspeito de criar o cavalo-de-tróia Peep
Fonte: Plantão INFO
As autoridades de Taiwan prenderam o engenheiro de
computação Wang Ping-an, suspeito de ter criado o
cavalo-de-tróia Peep, usado por hackers para roubar e
destruir dados confidenciais de sites governamentais de
países asiáticos.
Aparentemente, o engenheiro de computação, de 30
anos, não seria autor de nenhum dos roubos de
informações feitos por intermédio do Peep. Ele teria
colocado o programa em sites de hackers, para
download gratuito, depois de tentar vendê-lo, sem
sucesso.
A expectativa é que Ping-an, se condenado, pegue até
cinco anos de prisão. Analistas dizem que a questão
ganhou conotação de política internacional entre Taiwan
e China, uma vez que o cavalo-de-tróia também foi
colocado em sites chineses e usado por hackers para
violar páginas oficiais daquele país.
Segundo a Symantec, o Peep ainda não foi encontrado
em computadores fora da Ásia.
Hackers invadem site da Microsoft no Reino Unido
Fonte: IDG Now!
No dia 24 de maio a página de informações online da
Microsoft no Reino Unido foi hackeada e desfigurada.
A página Microsoft Press UK, voltada à imprensa, foi
invadida por um grupo autodenominado OutLaw Group,
que deixou sua marca por alguns minutos antes do site
ser retirado do ar.
A mensagem trazia as palavras "Owned by OutLaw
Group", criando um certo embaraço para a gigante do
software. A Microsoft retirou do ar todas as páginas do
setor de imprensa, deixando a impressão de que o setor
inteiro estava vulnerável.
Crimes digitais causam prejuízo de US$ 666 milhões
nos EUA
Fonte: IDG Now!
Em 2003, invasões, ataques, disseminações de vírus,
spams entre outras atividades consideradas "crimes
digitais" custaram cerca de US$ 666 milhões às
empresas norte-americanas, revela a pesquisa "2004 E-
Crime Watch", conduzida pela revista CSO com o apoio
do Serviço Secreto dos Estados Unidos e do CERT
Coordination Center, da Universidade de Carnegie
Mellon.
De acordo com o estudo realizado entre 15 e 26 de abril
deste ano com 500 participantes, 43% dos respondentes
observaram uma elevação nos `e-crimes' em relação a
2003 e 70% relataram que pelo menos uma invasão ou
um crime digital foi cometido contra os sistemas das
organizações onde atuam, no último ano. Já 30% dos
participantes disseram que não foram vítimas dos
criminosos virtuais em 2003.
Quando questionados sobre os tipos de perdas sofridos
com os crimes digitais, no ano passado, mais da metade
(56%) apresentaram perdas operacionais, 25% tiveram
perdas financeiras e 12% declararam outros tipos de
prejuízo. A média de crimes digitais e intrusões em 2003
foi de 136, segundo a pesquisa.
Entre as tecnologias mais utilizadas para combater os
crimes digitais os firewalls estão em 98% das empresas,
seguidos por sistemas de segurança física (94%) e
gerenciamento manual de correções de sistemas (91%),
pela criptografia de dados críticos trafegados (63%) e
pela criptografia de dados críticos armazenados (56%).
Quando se fala de políticas e processos de segurança, a
auditoria é listada como o método mais eficiente por 51%
dos participantes e a gravação de conversas telefônicas
dos funcionários é listada como a prática menos efetiva
(26%).
Forense computacional torna-se matéria obrigatória
para policiais europeus
Fonte: CNN.com e Módulo Security Magazine
Os policiais europeus estão retornando as salas de aula
com o objetivo de se aprender técnicas que ajudem na
prisão dos criminosos que agem pela internet. Por toda a
Europa, os investigadores procuram se especializar na
forense computacional.
No documento Forense Computacional: Aspectos Legais
e Padronização, elaborado por quatro especialistas do
Instituto de Computação da Unicamp (Célio Cardoso,
Flávio Oliveira, Marcelo Abdalla e Paulo Lício), este
conceito é descrito como "a ciência que estuda a
aquisição, preservação, recuperação e análise de dados
que estão em formato eletrônico e armazenados em
algum tipo de mídia computacional".
Assim, os policiais estão preparados para vasculhar, por
exemplo, um disco rígido de computador com o intuito de
se encontrar evidências que tal máquina foi usada em
um crime digital. As provas geralmente envolvem
programas desenvolvidos para invasão de outros PCs,
ou ainda e-mails e logs de navegação pela internet que
revelem o perfil do criminoso.
3
Valioso como um teste de DNA
Enquanto os criminosos utilizam novos dispositivos
digitais e a internet para cometer seus crimes, que
variam da extorsão ao tráfico de drogas, as autoridades
policiais indicam que a forense computacional está se
tornando rapidamente tão crucial numa investigação
quanto a evidência do DNA.
"Espero que a nova equipe de funcionários possa ter um
mínimo de conhecimento em forense computacional e de
software antes mesmo que eles entrem pela nossa
porta", afirma Marc Kirby, detetive da seção de forense
computacional da National Hi-Tech Crime Unit, divisão
de combate aos crimes digitais no Reino Unido.
Porém, esse desejo ainda está longe de ser realizado e
as autoridades policiais continuam um passo atrás no
combate aos crimes de informática. Dos 140 mil policiais
britânicos, apenas mil trabalham com o tratamento de
evidências digitais. Deste total, apenas 250 possuem alto
nível de conhecimento em forense computacional.
Apesar dos problemas, a capacitação dos policiais na
área tem demonstrado bons resultados. Cinqüenta e
cinco investigadores da equipe de Marc Kirby foram
responsáveis pela prisão de 12 pessoas suspeitas da
prática de roubo pela internet e lavagem de dinheiro. O
dinheiro levantado pela quadrilha era obtido através do
roubo de contas bancárias por fraudes por e-mail
(phishing scam).
Ataques de hackers ao setor financeiro duplicam
Fonte: Plantão INFO
O congelamento dos investimentos em segurança está
por trás do aumento de ataques de hackers ao setor
financeiro, os quais mais que duplicaram entre 2002 e
2003, segundo pesquisa da Deloitte.
De acordo com a empresa de consultoria, o percentual
de multinacionais do setor cujos sistemas foram
invadidos aumentou de 39% em 2002 para 83% em
2003.
A empresa de consultoria informa que 40% dessas
invasões resultaram em prejuízos para as corporações.
Também geraram entre os executivos dúvidas quanto ao
alinhamento das estratégias empresariais com a
tecnologia de segurança utilizada.
Apenas um terço dos executivos que participaram da
pesquisa considera que há esse alinhamento em suas
respectivas corporações. Outro terço acha que as
soluções implantadas não estão sendo usadas de modo
eficaz.
A grande maioria dos executivos, 70%, vê nos vírus e
worms a maior ameaça para seus sistemas nos próximos
12 meses. Mesmo assim, o percentual das empresas
que desenvolvem medidas antivirus caiu de 96% em
2002 para 87% em 2003.
Entre as soluções que as empresas estão testando ou
pretendem desenvolver nos próximos 18 meses, os
destaques são o gerenciamento de identidade e o
gerenciamento de vulnerabilidade.
Polícia pega spammer que usava nome do Unibanco
Fonte: INFO
Um spammer de Campinas, que usava o nome da
corretora e de um diretor do Unibanco para espalhar
mensagens sobre produtos que comercializa, teve seu
equipamento apreendido pela 4ª Delegacia de Crimes
Eletrônicos de São Paulo no último dia 13 de abril.
Por ordem judicial inédita em caso de spam obtida pelo
Unibanco, a polícia apreendeu CPU, gravador de CDs e
DVDs, disquetes, conjuntos de CDs graváveis e cópias
de software aparentemente piratas.
A operação foi resultado de um trabalho de investigação
realizado durante quatro meses pelo banco. "Estudamos
o perfil de atuação do spammer e fomos coletando
provas para apresentar à Justiça e pedir que o endereço
do telefone fixo dele fosse revelado", diz Nilton Carvalho,
diretor de segurança do Unibanco.
O equipamento apreendido foi encaminhado para a
perícia do Instituto de Criminalística. "Deve levar alguns
meses até sair o resultado e podermos dar andamento
ao processo. Mas já consideramos uma vitória ter aberto
jurisprudência sobre a atuação dos spammers", diz
Carvalho.
Hackers brasileiros atacam site da Visa
Fonte: Total Security e Arquivo Estadão
O grupo brasileiro de hackers Hax0rs Lab invadiu o site
da Visa , na Islandia. Eles desfiguraram a página inicial e
deixaram uma mensagem ao administrador do site que
diz "Your files belong to me now" (Seus arquivos agora
me pertencem). A Visa não informou se foram roubadas
informações sobre seus cartões de crédito.
Ainda durante esta semana o mesmo grupo atacou a
BMW, Fiat, Nestlé e TDK, explorando recente
vulnerabilidade encontrada num componente de
segurança do Windows.
O Hax0rs Lab, ou Laboratório de Hackers em bom
português, é conhecido como o campeão mundial de
ataques a sites - mais de 5 mil, de uma só vez, segundo
importantes publicações online como a BBC de Londres,
e a empresa britânica de segurança Mi2g.
O grupo é formado por dois estudantes que se
identificam apenas como F0ul e USDL, este último,
acrônimo para "Um Sonho de Liberdade". Apesar de
suas diabruras, eles não se consideram marginais e
qualificam seus ataques como um protesto contra os
males sociais e guerras injustificadas.
4
 ERÍCIA EM DISQUETE
Parte 2

Andrey Rodrigues de Freitas

No primeiro artigo, aprendemos como criar a imagem de um disquete utilizando o software da Runtime, o GetDataBack
for FAT. Agora iremos analisar e verificar se realmente não existe nada dentro do disquete, como disseram alguns
peritos.

Após iniciar o software GetDataBack for FAT (download em http://www.runtime.org), escolha a opção “Image files...” e
depois clique em “Next”, conforme a figura 1.

Figura 1

Algumas informações sobre o GetDataBack for FAT

Recupera dados de :

• Hard Drives (HD)

• Partições
• Floppy drives (disquetes)
• Imagens de hd’s ou disquetes
• Drives Zip/Jaz
• Drives remotos

Recupera dados dos seguintes sistemas de arquivos :

FAT12: geralmente associado com disquetes e hd’s não maiores que 16MB.

FAT16: usado em todas as versões do DOS, Windows 2.xx, Windows 3.xx, Windows 95 e versões do
NT.

FAT32: geralmente usado em hd’s maiores que 512MB no Windows 95 (OEM Rel. B), Windows 98, ME
e drives formatados no Windows 2000 e XP.

5
Clique no ícone “Image file...” (círculo azul da figura 2) e selecione a imagem criada no artigo anterior a qual chamamos
de Disquete.img (figura 2), e lembre-se : nunca se esqueça de documentar todos os passos do processo.

Figura 2

Após a imagem do disquete ter sido selecionada, o software irá analisá-la e apresentará algumas informações sobre o
arquivo, tais como : nome, tamanho da imagem, tipo de acesso, etc.. (figura 3). Depois clique em Next para passar ao
próximo passo.

Figura 3

6
No passo 3 (figura 4), escolha o sistema de arquivo a ser recuperado que fica na parte direita da tela, item “File system
to recover”, neste exemplo iremos escolher o FAT12 (Floppy in DOS/WIN/NT), há também a possibilidade de se analisar
a imagem inteira ou apenas partes da imagem na opção “Source drive”, escolha “Search entire drive”.

Figura 4

Vá ao menu Tools e escolha o item “Options...” (figura 5), selecione todas as opções (f igura 6). As opções mais
interessantes são : Recuperar arquivos deletados (Recover deleted files) e Recuperar arquivos perdidos (Recover lost
files). Feche a janela de opções e clique em Next para que o software analise a imagem do disquete.

Figura 5
7
 Figura 6

Podemos observar na figura 7 o GetDataBack analisando todo o conteúdo da imagem e na figura 8 o resultado desta
análise. Clique em Next.

Figura 7
8
 Figura 8

De acordo com o help do sistema :

• Name: The file system type (FAT12, 16 or 32).

• Cluster0: The position of cluster 0 in the file system.
• Cluster size: The number of sectors in one cluster. Possible values are:
for FAT12: 1, 2, 4, 8,
for FAT16: size of the volume/number of max. possible FAT entries (65535) rounded to the next possible value,
for FAT32: 8 for 512MB-8191MB, 16 for 8192MB-16383MB, 32 for 16384MB-32767MB, 64 for >32768MB.
• Total sectors: The total number of sectors in the file system.
• FAT1: If any: the start sector of FAT1, (the quality of the FAT, defined by the selected file system's range the FAT covers),
• FAT2: If any: the start sector of FAT 2, (the quality of the FAT, defined by the selected file system's range the FAT covers),
• FAT length: If any, the FAT's length in sectors.
• 1st root cluster: If any, the start cluster of the root directory (only available for FAT32 file systems).
• Root dir start: If any, the first sector of the root directory.
• # root entries: The max. possible number of root directory entries in this file system (FAT12 and 16 only).
• Total clusters: The total number of clusters in the file system.
• Min clusters used: The min. cluster range where data was found by the scan.
• Max cluster used: The max. cluster range where data was found by the scan.
• Data matches: Total number of matches of dir starts with file starts. This number determines the order of the file system list
in Step 4. The higher this value, the larger is the number of probably recoverable files.
• Debug info: B stands for boot record found, B0 for example means, that at least one boot record was found. D stands for
directories found, the following number states the number of directory structures found.
• Dir starts: Cluster areas where found directory entries are pointing to.
• File starts: Cluster areas identified to be a start of a file.
• FAT1 starts: Cluster areas where a beginning of a chain in FAT1 is pointing to.
• FAT2 starts: Cluster areas where a beginning of a chain in FAT2 is pointing to.

Encontramos algo que os outros peritos não tinham encontrado (figura 9), um arquivo chamado xCONVITE.DOC. Este
arquivo havia sido deletado momentos antes da chegada dos peritos, por isso não aparecia no Explorer e nem através
do MS DOS. O software além de mostrar que o arquivo havia sido apagado, também nos mostra algumas outras
importantes informações : o tamanho do arquivo (19.456), a data da modificação (10/09/2003 11:57:32), a data de
criação do arquivo (10/09/2003), etc..

9
 Figura 9

Cor do arquivo Significado

filename.ext Arquivo ou diretório normais
filename.ext Somente leitura
filename.ext Sistema
filename.ext Hidden
filename.ext Compressão
filename.ext Deletado

Clicando com o botão direito do mouse em cima do arquivo e escolhendo a opção “Show info...” ou “Ctrl + I” (figura 10),
podemos ver as informações do arquivo (figura 11). Podemos afirmar que o arquivo foi deletado através da tabela acima
ou do campo Type: Deleted file.

Figura 10

10
 Figura 11

De acordo com o help do sistema :

• Name: The display name of the file or folder.

• Short name: The short name of the file or folder.
• Long name: The long name of the file or folder.
• Type: The type (directory or file).
• Attributes: The attributes (a = archive flag, r = read only, h = hidden, s = system, l = volume
name, d = directory, c = compressed).
• Size: For files= the size of the file in bytes, for directories= the number of directories and files
in this directory, the size of the directory.
• First cluster: The first cluster of the file or folder.
• Last modified: The date/time the file was last modified.
• Created: The dat e/time the file or folder was created.
• Last accessed: The date the file was last accessed.
• Allocation by: Internal debug info.
• Found at cluster: The cluster where the file or folder entry was found.
• ID: Internal debug info.
• Clusters used: The cluster(s) where the data of the file or folder are located. The number in
parentheses shows the number of continuous clusters used. For example: 00E6(3), 00EA(6)
means that the data was allocated by using cluster 00E6 and the following two cluster and
cluster 00EA and the following five clusters.
• Sectors used: The sectors(s) where the data of the file or folder are located. The number in
parentheses shows the number of continuous sectors used. For example: 1102(4), 1166(4)
means that the data was allocated by using sector 1102 and the following three sectors and
sector 1166 and the following three sectors.

Se clicarmos de novo com o botão direito do mouse e escolhermos agora a opção “View” ou “F3” (figura 12), saberemos
o que há dentro do arquivo que havia sido deletado.

11
 Figura 12

E finalmente descobrimos o que há dentro do arquivo (figura 13). Há também a opção de salvarmos o documento em
seu formato original através do “Copy...” ou “F5” (figura 12), conforme nos mostra a figura 14.

Figura 13

12
 Figura 14

E finalmente, temos a prova em seu formato original (figura 15).

Figura 15

Conclusão : Para encerrar este artigo eu pergunto : Você tem certeza

O GetDataBack da Runtime Software nos permitiu
encontrar uma prova, onde através de métodos normais
(Explorer e DOS do Windows) não eram possíveis. Com
apenas alguns cliques e um pouco de conhecimento é
possível sabermos se um disquete ou hd esconde
informações sigilosas.
Escolhi o GetDataBack por ser de fácil utilização e por
ser possível fazer o download do software no site da
Runtime.
que os disquetes que distribui para seus amigos ou
empresas parceiras não estão indo com informações
importantes ?
:: Andrey Rodrigues de Freitas
:: periciaforense@yahoo.com.br
:: Graduado em Processamento de Dados, Pós-graduado em
Computação Aplicada e Pós-graduado em Internet Security. Criador /
Moderador do Grupo de discussão Perícia Forense Aplicada à
Informática.

13
14
 GENTES DIGITAIS DO CRIM E
Salomão de Oliveira
Os vírus como eram conhecidos até bem pouco tempo
atrás não existem mais. O que temos hoje são
verdadeiros “agentes digitais do crime” ditos de alta-
tecnologia, o que nem sempre é verdade, como iremos
perceber no decorrer deste texto.
O termo “Vírus de Computador” foi cunhado por Fred
Cohen, um eng. Elétrico da Universidade da Califórnia do
Sul, em 1983. De lá para cá a situação só tem agravado,
quer seja por conta do expressivo crescimento das redes
compartilhadas, principalmente a Internet, pelo aumento
da complexidade e tamanho dos sistemas operacionais e
aplicativos, e conseqüente aumento das falhas de
segurança, pela explosão da utilização de computadores
e sistemas tanto dentro das empresas quanto por
usuários residenciais. Outro fator que tem facilitado a
disseminação destes “agentes” é a massificação de
acessos com banda larga por usuários residenciais e
pequenas empresas que, tanto um quanto outro, não têm
infra-estrutura e nem conhecimento para proteger seu
ponto na rede.
Hoje a denominação VIRUS já não mais comporta o
espectro de ações que estes agentes, como estou
chamando aqui, estão habilitados a realizar, quer seja
por funções inseridas nos códigos ou por comandos
remotos aos quais estão prontos para receber a qualquer
momento e em qualquer lugar. Vírus, Worm, Trojan,
Keyloger, SpyWare, Fake e-mail; Phishing etc., fazem
parte deste conjunto de agentes ao qual estou me
referindo, pois normalmente o criminoso – agente
humano – utiliza um conjunto destes agentes digitais,
uma equipe cibernética do mal, como ferramenta para
praticar seus atos criminosos.
Estes agentes ganharam, e continuam a ganhar,
promoções e novas atribuições a cada nova onda de
versões, como se fossem a própria evolução do mal.
Começaram atacando arquivos executáveis, depois
sistemas de boot, arquivos de documentos com macro,
ataque a sistemas operacionais específicos, partindo
para disseminação em massa cada vez mais
rapidamente e ganhando funcionalidades que seriam
impensáveis há algum tempo atrás, como servidor
próprio de SMTP, varredura inteligente de redes e
arquivos à procura de vulnerabilidades e informações,
além das técnicas de engenharia social aplicados a estes
agentes e à capacidade de burlar e até mesmo desativar
sistemas de defesa, como firewalls e antivírus.
Estamos prestes a entrar na era dos ‘agentes digitais
inteligentes do crime’, o que acontecerá em breve com a
evolução dos agentes com funções de Inteligência
Artificial (IA).
Os agentes humanos, hackes ou crackers, deixo ao
gosto de cada um, complementam, ou são
complementados, a equipe do mal cibernético, além de
determinarem quais serão as funções deste ou aquele
agente ou equipe de agentes, que podem, dentre outras,
ser: capturar informações bancárias, como conta e
senha; capturar senhas de sistemas; ataques por
motivos de ‘hacktivismo’; ataque à corporações por meio
de DoS, DDoS – como ocorreu com a SCO e Microsoft
recentemente com o Mydoom; disseminação de Spams,
espionagem industrial, comercial e pessoal.
É certo que até pouco tempo atrás muitos dos criadores
de agentes eram motivados pela necessidade pessoal de
conseguir ‘status’ dentro da sociedade underground da
qual participava, mas isso vem, às vistas claras, sendo
substituído por motivações criminosas, tais como fraudes
bancárias; espionagens; utilização de computadores
zumbis, que aliás já formam um verdadeiro exército, para
ataques DDos, disseminação de mais agentes,
disseminação de spams etc.
Muitos destes agentes utilizam engenharia social para
induzir a vítima, o usuário que recebe o e-mail infectado,
por exemplo. Um bom caso que retrata esta faceta dos
ataques por vírus é o do virus LoveLetter, que com seu
assunto (subject) mais famoso - I Love You, induziu
milhões de usuários (curiosos) a abrir o arquivo anexo ao
e-mail.
É comum os vírus se auto-enviarem para todos os
endereços de e-mail encontrados no computador
infectado e até mesmo em áreas compartilhadas da rede,
e em muitos casos escolhendo um desses endereços,
que não o do dono do computador, para ser colocado no
campo “remetente”. Isso traz dois problemas: o primeiro
é a dificuldade de saber de onde partiu o e-mail
infectado, pelo menos para os usuários comuns, e o
segundo é que muitos antivírus mandam uma resposta
automática para o remetente do e-mail infectado, o que
tem causado grande confusão principalmente para
usuários e administradores de redes corporativas, pois a
quantidade de usuários que recebem mensagens
alertando, indevidamente, que enviaram e-mails
infectados é imensa.
As fraudes bancárias recentes têm utilizado de maneira
assustadora o conjunto: hacker, spam; vírus, trojan,
keyloger, spyware e engenharia social. As últimas
quadrilhas presas por aplicar golpes financeiros em
clientes de bancos costumavam usar uma equipe destes
agentes. Não podemos esquecer dos ‘laranjas’, pessoas
motivadas por ganho fácil que emprestam o nome para
as quadrilhas retirarem dinheiro fraudado dos bancos.
15
O hacker cria o trojan, spywares ou keyloger – ou Fora este, o hilário, ainda tem vários que se passam por
simplesmente utiliza os disponíveis livremente na mensagem de bancos, da Receita Federal, tem o que
Internet, cria os sites clones do banco e ataca servidores promete fotos da Playboy, viagens grátis pela Gol, meia
DNS para direcionar sites de bancos para sites clones; dúzia de e-mails falsos de cartões virtuais, outros que
os vírus transportam trojan, spywares ou o keyloger para oferecem senhas para sites pornográficos, dentre outros
a máquina das vítimas e os keylogers e spywares tantos.
capturam as informações como agência, conta e senha,
quer seja por teclado ou cliques de mouse. Contra esta equipe de agentes é necessário uma equipe
de contramedidas baseadas nos pilares PPT, Processos
(política de segurança)
Pessoas (educação) e
Processos
Tecnologia conforme
Política de Segurança ilustrado abaixo. Estas
contramedidas devem ser
dosadas de maneira a
Ponto de Equilíbrio atender as necessidades
e expectativas da
• organização e de
maneira que não se
desperdice recursos
Pessoas sempre tão escassos. Há
Educação e Treinamento empresas que são o f rtes
em tecnologia, mas não
têm política de segurança
e seu pessoal não têm
Tecnologia Aplicada à educação para a
Segurança segurança. A tecnologia
por si só não assegura o
nível de segurança
necessária, assim como as outras soluções possíveis,
A Engenharia social usada maciçamente em e-mails, a que não em conjunto, também não o assegurarão.
maioria escrito em português errado, induz o cliente a
entrar em sites falsos, e por conta própria entregar de Cabe ao Security Officer descobrir e receitar a dosagem
‘mão-beijada’ as informações necessárias aos golpistas, certa de cada contramedida e como elas irão se integrar
ou mesmo baixar arquivos infectados com trojans que para manter a segurança em níveis aceitáveis.
irão abrir backdoors nos computadores, possibilitando o
acesso pelo hacker para captura de informações
sigilosas ou mesmo enviarão estas informações aos
fraudadores por e-mail.

Um dos e-mails ao qual tive acesso já vinha com um :: Salomão de Oliveira

formulário onde deveria ser digitado código da agência,
número da conta, senha eletrônica (a da Internet) e a
senha do cartão (a de seis dígitos). Feito isso os dados
eram enviados para o fraudador terminar o ‘trabalho’.
Simples e rápido.
:: salomao_o@ig.com.br
:: Analista de Segurança da Informação. Graduado em Administração
de Sistemas de Informações / Pós-Graduado em Internet Security
(Advanced School of Internet Security), MCSO.

São vários os tipos de e-mails com intenção de induzir o

usuário incauto a baixar arquivos que possivelmente
sejam trojans. Um dos mais hilários é o que diz que o
destinatário está sendo traído. É inacreditável onde a
curiosidade pode levar as pessoas. Quando vi este e-
mail pela primeira vez não pude deixar de pensar na
atitude destinatário ao receber a mensagem: “Aquela
#@$!¨¨&¨@%#, bem que eu desconfiava”, e
imediatamente clica no link para ver as fotos prometidas
da suposta traição. Me pergunto: Será que no mundo há
tantos homens desconfiando de suas mulheres, e vice-
versa, para que um e-mail tão absurdo como este dê
resultado, ou será que é apenas a curiosidade que está
fazendo com que as pessoas caiam neste golpe? Me
parece óbvio que o golpe está dando resultado, pois os
e-mails não param de chegar, e com novas versões de
texto e novos endereços para download.

16
 Evento sobre tendências na área Técnica e de Gestão em Segurança da Informação

Batori Security Day - 18 de agosto de 2004 - Teatro Paulo Autran

Diante do crescimento da rápida como, fonte de informação obrigatória para os executivos

disseminação de vírus de
computador, roubo de informações
confidenciais e riscos envolvendo o
bom andamento dos negócios, a
Batori Software & Security realizará
o 1° Batori Security Day. Será um
evento onde estarão presentes os
principais especialistas da área de
Segurança da Informação, demonstrando as principais
tendências sobre a área técnica e de gestão.
O Batori Security Day é uma oportunidade única de
informação e atualização para profissionais ligados às
áreas de Tecnologia da Informação e Direito, assim
e gestores ligados às áreas de Segurança da Informação
Durante o evento, os principais especialistas nas
diversas áreas de Combate a Fraudes, Direito Eletrônico,
Perícia Forense, Política de Segurança da Informação,
Sistemas de Segurança, Desenvolvimento de Software,
estarão reunidos, palestrando e apresentando casos
práticos e tendências aos participantes.
A primeira edição do evento será gratuita e aberta a
consultores, especialistas em Segurança da Informação,
executivos do segmento financeiro, Security Officer,
Analistas de Segurança, profissionais de Direito,
estudantes universitários e Auditores, entre outros.

Agenda
9:00

Tema: Sessão de Abertura

Duração: 15 min
Denny Roger (denny@batori.com.br)
Palestrante: Empresa: Batori Software & Security
Cargo: Diretor de Segurança da Informação

09:15

Tema: Fraudes Internet Banking

Duração: 45 min
Alberto Afonso / Emerson Miron
Palestrante: Empresa: Banco REAL ABN AMRO Bank
Cargo: Diretoria de Auditoria e Inspetoria

10:00

Tema: E-mail: ruim com ele, pior sem ele. Como se precaver em relação ao SPAM
Duração: 60 min
Rodrigo Jonas Fragola (fragola@aker.com.br)
Palestrante: Empresa: Aker Security Solutions
Cargo: Diretor Executivo

11:00

Tema: Segurança na Aplicação

Duração: 45 min
Ricardo Kiyoshi Batori (ricardo@batori.com.br)
Palestrante: Empresa: Batori Software & Security
Cargo: Diretor de Desenvolvimento

12:00 Almoço

17
 15:00

Tema: Por onde começar o Gerenciamento da Segurança de grandes redes

Duração: 45 min
Nelson Corrêa (ncorrea@lucent.com)
Palestrante: Empresa: Lucent Technologies
Cargo: Gerente de Segurança da Informação América Latina

16:00

Tema: Crimes Eletrônicos e os Tribunais Brasileiros

Duração: 60 min
Renato Opice Blum (renato@opiceblum.com.br)
Palestrante: Empresa: Opice Blum Advogados Associados
Cargo: Sócio Diretor

17:00

Tema: A Máfia Eletrônica Fraudes Financeiras no Século XXI

Duração: 45 min
Denny Roger (denny@batori.com.br)
Palestrante: Empresa: Batori Software & Security
Cargo: Diretor de Segurança da Informação

Endereço

Av João Dias, 2046 – Santo Amaro – São Paulo / SP.

Inscrições

(Inscrição gratuita)

http://www.batori.com.br/securityday/inscricao.asp

:: Apoio ::

18
 I.R.E.
FORENSIC INCIDENT RESPONSE
ENVIRONM ENT
Universidad de los Andes. Carrillo, Ospina, Rangel, Rojas, Vergara
I. INTRODUCCIÓN
Para un investigador forense es especialmente útil contar
con las herramientas que le permitan llevar a cabo su
labor en cualquier lugar donde sea necesario. Debido a
que usualmente las herramientas requieren instalación,
la atención a incidentes puede ser demorada y con
frecuencia requiere mover información de un computador
a otro que ya cuenta con las herramientas.
A continuación se describirá de forma concisa F.I.R.E,
una kit forense embebido en un CD con capacidad de
arranque, lo que lo hace portátil.
Debido a que el kit proporciona una gran cantidad de
herramientas y a que no es nuestra intención hacer un
manual de F.I.R.E, se han escogido siete herramientas
de acuerdo a la funcionalidad que prestan. Resultaron
especialmente interesantes las siguientes herramientas:
Gpart, Wipe, DSniff Tools, Steg Detect, Autopsy y Task.
Estas herramientas cubren un amplio espectro de las
necesidades del investigador.
A lo largo del documento se explicará de forma detallada
cada una de las herramientas empezando por su
descripción, nombrando las ventajas y desventajas que
tienen.
II. FIRE
Previamente conocido como Biatchux, es un cd básico
de arranque de disco, el cual provee un ambiente
inmediato con el cual se pueden realizar análisis
forenses, respuestas a incidentes de seguridad,
recuperación de datos, escaneo de virus y análisis de
vulnerabilidades.
FIRE también provee las herramientas necesarias para
análisis forense en win32, SPARC, Solares y Linux.
Este kit forense proporciona 196 herramientas, las cuales
se dividen en 6 áreas principales (herramientas básicas
del sistema operativo (Base OS), forense y recuperación
de datos, respuesta a incidentes, pruebas de
penetraciones (Pen-Test), asociación binaria estática
(Static Linked Binary) y escaneo de virus) según la
funcionalidad de la herramienta, algunas de ellas se
repiten en varias de las 6 áreas.
La descripción de cada una de las herramientas se
realiza de o
f rma general en el anexo. (Esta se presenta
como anexo a una columna). [1]
III. HERRAMIENTAS ANALIZADAS
1. Disk Investigator.
Esta herramienta permite descubrir la información oculta
en un disco de almacenamiento, sea un disquete, el
disco duro y unidades de almacenamiento externo. Y
puede en ciertas ocasiones recuperar datos perdidos.
Sin embargo esta herramienta solo maneja sistemas de
archivos FAT12, FAT16, FAT32 y NTFS y funciona en
los siguientes sistemas operativos: Win95, Win98,
WinME, WinNT, Win2000 y WinXp [2,3].
Esta herramienta ofrece las siguientes funciones [3]:
• Permite localizar datos dado un parámetro de
búsqueda.
• Visualiza el contenido real del disco, ya que no
toma en cuenta la información proporcionada por el
sistema operativo sobre el sistema de archivos,
sino que toma la información directamente de los
sectores del disco.
• Permite recuperar archivos previamente borrados
(hay que tener en cuenta que la recuperación no es
completa y no se garantiza la integridad de los
datos, debido a la escritura de nuevos datos en el
disco).
• Permite visualizar el directorio raíz, los archivos,
cluster y sectores del sistema.
• Permite verificar la efectividad de los programas de
borrados seguros en archivos y discos.
• Permite realizar verificación de firmas digitales.
Para cada una de las anteriores funciones se muestra a
continuación su configuración y funcionamiento:
1.1 Visualización del contenido directo del disco:
Existen dos modos para visualización del disco:
Modo de disco: En este modo de puede visualizar el
contenido del disco sector por sector, se puede
configurar el sector del disco a visualizar, se puede
además visualizar tanto el contenido usado del disco
como el espacio no alocado y el espacio libre y la
información del disco[3].
19
 Fig1. Pantalla de visor de disco en Disk Investigador.
En esta imagen de pantalla (fig 1) se puede observar la
información del disco (tamaño del disco, número de
sectores lógicos, Bytes por sector, secotores por cluster,
tamaño del cluster, sistema de archivos, cluster libres,
espacio libre, descripción de la tabla maestra de archivos
MFT, etc), y el contenido del sector 0 del disco (se
muestra el contenido en hexadecimal, en texto y en
decimal, además tiene la opción de observar el cluster
actual ver fig 2.)
Fig2. Vista de un cluster especificado (Cluster 0)
Al elegir la opción de vista del cluster se puede ver la
información de los 8 sectores del cluster, en esta vista se
tiene la opción de copiar al contenido del cluster, o de
adicionar el cluster a memoria, de esta forma se pueden
guardar en un archivo los cluster que se encuentran en
memoria principal.
• Modo de directorio: Este modo permite ver el
contenido del disco con estructura de directorios,
permite ver el contenido raíz de cualquier archivo
en el disco (la información de cada archivo es:
nombre del archivo, nombre del archivo en DOS,
extensión, atributos, tamaño en disco, fecha de
modificación, fecha de creación, fecha de ultimo
acceso). En sistemas de archivos FAT (no
NTFS) este modo permite ver los archivos
borrados que se encuentran en el disco [3]. En la
Fig3 se muestra el contenido del disco en
sistemas NTFS y la Fig4 muestra el contenido de
un disco con sistema de archivos FAT16.
Fig3. Vista de disco con sistema NTFS
(se observan archivos y directorios)
Fig4. Vista memoria USB en sistema de archivos FAT16.
(Se observan archivos (negros) y directorios normales (verde),
También archivos borrados (rojos) y directorios borrados (cafés))
Adicionalmente este modo permite seleccionar un
archivo y mirar el o los cluster del disco en los cuales se
encuentra, además permite recuperar en cierto
porcentaje los archivos borrados (no se asegura
recuperación completa del archivo pero se puede ver
parte de la información que contenía, esto puede ser útil
a la hora de realizar un análisis forense).
1.2 Recuperación de Archivos:
Como ya ha sido descrito anteriormente desde el modo
de directorio para la visualización del disco, se pueden
observar los archivos eliminados en sistemas de archivos
FAT, seleccionando el archivo a recuperar la aplicación
toma el encabezado del archivo en el sector en el cual se
encuentra tomando el tamaño del archivo y
recuperándolo. Es fácil ver que al recuperar el archivo no
se esta asegurando la integridad del archivo, ya que la
aplicación esta capturando la totalidad del archivo dado
su encabezado, por lo cual no esta teniendo en cuenta
que algún sector donde estaba el archivo puede haber
sido utilizado por el sistema operativo para almacenar
otro archivo (ya que para el sistema operativo este
espacio se encuentra libre para asignación). Por esta
razón el sistema de recuperación de archivos no es
completamente útil, aunque hay ocasiones en las cuales
se puede recuperar la totalidad del archivo ya que el
espacio de este no ha sido nuevamente asignado.
20
1.3 Búsqueda dado un parámetro:
La aplicación permite realizar búsquedas sobre todo el
disco, dados dos letras, una palabra o una frase, se
busca sobre todo el disco para encontrar similitudes,
reportando al final en que sectores del disco se
encuentra el parámetro de búsqueda (Ver Fig5), de esta
forma se puede buscar información borrada
anteriormente o comprobar procesos de borrado seguro.
Fig5. Resultado de búsqueda por Disk Investigator, se puede
observar que el programa indica en que sector se encuentra y
permite localizarlo.
1.4 Verificación de firmas Digitales:
El programa permite para cada uno de los archivos
consultados en el modo directorio, calcular la llave de
verificación dependiendo del estándar (entre estos
encontramos MD5 – 128 bits, CRC - 32 bits, RipeMD –
128 bits, RipeMD – 160 bits, SHA – 1, SHA – 256, SHA –
384, SHA – 512), esto permite verificar el contenido de
un archivo y comprobar si el archivo no ha sido
modificado o se encuentra defectuoso.
1.5 Ejercicio para su utilización:
Para mostrar el funcionamiento de la herramienta para
las funciones descritas anteriormente se realizara el
siguiente ejercicio:
Se tiene una memoria USB (Kingston de 128 megas), se
utiliza Disk Investigator:
1.5.1 Primero se obtendrá la información acerca del
disco es:
Logical drive: E
Size: 122 Mb (popularly 128 Mb)
Logical sectors: 250068
Bytes per sector: 512
Sectors per Cluster: 4
Cluster size: 2048
File system: FAT16
Number of copies of FAT: 2
Sectors per FAT: 245
Start sector for FAT1: 1
Start sector for FAT2: 246
Root DIR Sector: 491
Root DIR Cluster: 1
Root DIR Entries: 512
2-nd Cluster Start Sector: 523
Ending Cluster: 62387
Media Descriptor: 248
Root Entries: 0
Heads: 8
Hidden sectors: 32
SerialVolumeID: 17E9242F
Volume Label: KINGSTON
1.5.2 Segundo se tratara de recuperar archivos:
Se puede observar que el sistema de archivos es FAT16
con lo cual se puede observar en el modo directorio la
información de los archivos borrados, para comprobar las
propiedades de recuperación de archivos.
El modo directorio muestra la siguiente información
(Fig6)
Fig6. Archivos encontrados en la memoria USB, los archivos en
rojo son los archivos borrados.
Se tratan de recuperar los siguientes archivos:
voip simulation and análisis.pdf con ultimo acceso el 7
de Marzo (1 mes atrás).
Taller 3 Ecologia.doc con último acceso el 11 de Marzo.
Al tratar de recuperar el primero se presento un error a la
hora de leerlo en el cual se indicaba que el archivo se
encontraba corrupto, esto se debe a que alguno de los
cluster que estaban ocupados por el archivo fue
asignado a otro archivo diferente. Por el contrario el
segundo archivo pudo ser recuperado en su totalidad,
esto se debe a que los cluster no habían sido asignados
a otro archivo.
1.5.3 Por último verificaremos opciones de borrado
seguro, utilizando búsqueda y modo de directorio:
Se creara un archivo TXT de prueba con palabra clave
para búsqueda (baggins), este se creara en el directorio
raíz de la memoria y será borrado por dos métodos el
primero (eliminar – normal de Windows), el segundo
(borrado seguro - Eraser), y utilizaremos el Disk
Investigator para verificación.
El contenido del archivo Prueba.txt es: “Esto es una
prueba con palabra clave Baggins.”.
21
En modo directorio se observa que el archivo Prueba.txt
se encuentra en el directorio de la memoria (Fig7), y
utilizando el visor se puede observar el contenido del
cluster en el cual se encuentra (Fig8, Cluster: 2756).
Fig7. Modo directorio para Memoria USB (archivo Prueba.txt)
Fig8. Visor del cluster 2756, sectores 11543-11546 (Sectores por
cluster 4) Para el archivo Prueba.txt
Ahora bien borrando el archivo con la opción eliminar de
Windows, utilizamos Disk Investigator para mostrar que
el archivo no ha sido borrado y puede ser recuperado.
El archivo Prueba.txt aparece como eliminado, y sin
embargo la información puede ser vista con el visor (Fig9
y Fig10).
Fig9. Modo de directorio muestra el archivo Prueba.txt como
eliminado.
Fig10. Visor del cluster 2756, sectores 11543-11546 (Sectores por
cluster 4) Para el archivo eliminado Prueba.txt
Lo anterior nos muestra que el borrado de Windows,
únicamente cambia el nombre al archivo en la tabla de
archivos del sistema FAT con un valor especial de
borrado.
Ahora bien, si utilizamos una técnica de borrado seguro,
se encuentra el nombre del archivo en el directorio sin
embargo no se puede abrir el cluster, esto indica que la
referencia a sido eliminada por completo, ahora para
verificar que el contenido del archivo no se encuentra se
realizo una búsqueda por la palabra clave (Baggins), la
cual no arrojo resultados, esto muestra que las técnicas
de borrado seguro elimina el contenido del archivo.
2. Gpart
Gpart es una herramienta de diagnóstico y recuperación
de libre distribución que permite identificar las particiones
existentes en un disco o imagen, aun cuando el sector
cero se encuentra dañado, es incorrecto o ha sido
borrado. [4]
La herramienta ignora la tabla de particiones primaria e
intenta construir una a partir de información presente en
el disco aun cuando esta no se encuentra indexada en la
tabla.
2.1 Funcionamiento.
El método consiste en leer sector por sector en
búsqueda de encabezados, datos o partes de los
mismos que permitan identificar la existencia de una
partición. La forma en que la relevancia de los datos es
clasificada depende del sistema de archivos, pues para
cada uno de ellos, existe un encabezado que señala la
existencia de una partición.
Una vez se identifica un patrón que levante la sospecha
de la existencia de un sistema de archivos o partición, la
herramienta compara el hallazgo con la lista de
particiones existentes y clasifica la partición hallada en
una de cuatro categorías: Primary, Logical, Orphan o
Invalid.
Primary o Logical significa que estan indexadas
correctamente, sin embargo, Orphan es una partición
que no esta indexada, por lo que muy probablemente
sea una partición borrada. La herramienta genera una
22
adivinación de la información faltante en el patrón,
permitiendo así el uso de la partición o sistema de
archivos “Orphan”. Invalid corresponde a información que
no puede ser identificada. Como perteneciente a ninguna
partición.
Dada la naturaleza del método, las modificaciones
realizadas a la tabla primaria de particiones con el fin de
esconder información resultan poco útiles.
2.2 Compatibilidad
Gpart opera con un conjunto de archivos que estipulan
los patrones a ser buscados dependiendo del sistema de
archivos. Asimismo, cada archivo estipula pesos y reglas
estadísticas que permiten llevar a cabo los pronósticos
para la reconstrucción de la tabla primaria de particiones.
De acuerdo a esto gpart es una herramienta liviana que
permite una amplia gama de opciones y actualizaciones
para proporcionar una compatibilidad casi ilimitada con
otros sistemas de archivos. En la actualidad gpart
soporta: XFS, BeOS, Bsddl, ext2, FAT, HPSF y NTFS
entre otros. [4]
2.3 Análisis de la Herramienta
Gpart presenta una manera heurística de reconstruir la
información, esto le permite ser flexible y efectiva en
muchas situaciones. Sin embargo esta misma
característica hace que sea necesario dudar de los
resultados que la herramienta provee dado que se
pueden presentar con relativa frecuencia uno de los
siguientes casos patológicos: reconocimientos ficticios de
particiones o reconocimientos incorrectos de particiones.
En el primero de los casos la herramienta puede hacer
creer al usuario que se ha encontrado una partición
donde nunca ha existido haciendo que el investigador
invierta su tiempo de forma innecesaria. El segundo caso
es más grave porque ocurre cuando la herramienta
descubre una partición o sistema de archivos que
efectivamente existe en la superficie del disco, pero no
es capaz de adivinar correctamente la estructura del
encabezado. En este caso, aun cuando existe la
posibilidad de ver los archivos, es probable que ninguno
de ellos sea accesible haciendo evidente la necesidad de
cambiar de herramienta. [4]
Vale la pena aclarar que en ambos caso la solución esta
ligada a la pericia que tenga el usuario para afinar los
parámetros en los archivos de patrones para la
identificación. En caso de lograr un nivel alto de
afinamiento, los errores se hacen muy pocos.
De acuerdo a lo anterior, gpart es una herramienta que
requiere de un especialista y no es recomendada para
personas con poco conocimiento de la herramienta.
Existe un problema adicional relacionado con las
particiones extendidas. Debido a que este tipo de
particiones pertenecen a una cadena de índices que a su
vez esta encadenada con particiones lógicas, resulta
difícil para la herramienta identificar principio y fin de
cada cadena, haciendo que la identificación de este tipo
de particiones resulte defectuosa.
La herramienta ofrece una serie de opciones adicionales
como reconocimiento manual de disco por CHS, importar
modulo de reconocimiento (archivo de patrones) e
imprimir la tabla primaria de particiones. [4]
3. Wipe
Wipe es una herramienta de libre distribución que
permite hacer borrado seguro de archivos en discos
magnéticos. Esto ofrece un mayor grado de seguridad a
la información confidencial que alguna vez fue
almacenada en un medio magnético que ahora será
desechado o usado para otros fines. [5]
3.1 Funcionamiento
La herramienta esencialmente alterna la escritura de
0x00 con 0xff varias veces sobre el archivo antes de
eliminar el encadenamiento en la tabla de archivos.
La herramienta requiere que el dispositivo sobre el que
se vaya a borrar permita la escritura sin buffer o cache,
pues utiliza fdatasync [6] para garantizar que cada
escritura ocurra en una sola etapa y una tras otra.
4. Dsniff Tools V2.3
Es un conjunto de herramientas para auditoria de redes y
pruebas de penetración. Dsniff, filesnarf, mailsnarf,
msgsnarf, urlsnarf y webspy realizan monitoreo pasivo de
redes en busca de información interesante (passwords,
e-mails, archivos, etc.). arpspoof, dnsspoof y macof
facilitan la intercepción del trafico de red al cual un
atacante normalmente no puede tener acceso. Sshsmitm
y webmitm implementan ataques de tipo man-in-the-
middle contra sesiones SSH y http redirigidas [7].
4.1 Resumen de las Herramientas.
Para cada una de las herramientas a continuación se
realiza su descripción:
4.1.1 Dsniff: Es un sniffer de passwords simple, maneja
trafico FTP, Telnet, HTTP, POP, NNTP, M I AP, SNMP,
LDAP, Rlogin, NFS, SOCKS, X11, IRC, AIM, CVS, ICQ,
Napster, Citrix ICA, Symantec PC Anyware, NAI Sniffer,
Microsoft SMB e información de autenticación de Oracle
SQL Net. Va más allá que otros sniffers porque hace un
sniffing mínimo de cada protocolo de aplicación,
guardando solo los bits “interesantes”. Usa Berkeley DB
como formato de salida y soporta reensamble TCP/IP.
4.1.2 MailSnarf: Brinda una forma fácil y rápida de violar
el Electronic Communications Privacy Act de 1986.
Muestra todos los mensajes del trafico SMTP en formato
Berkeley Mbox. Recomendable para hacer browsing de
esa información offline con el lector de mail favorito (mail
-f, pine, etc.)
23
4.1.3 UrlSnarf: Muestra todos los URL’s solicitados
haciendo sniffing del trafico HTTP en el formato CLF
(Common Log Format) que usan la mayoría de
servidores web, recomendado para hacer análisis y
procesamiento offline con su herramienta favorita de
análisis de web logs (analog, wwwstat, etc).
4.1.4 WebSpy: Envía los URL’s de un cliente (los cuales
se han capturado haciendo sniffing) a su browser
netscape local para mostrarlos, se actualiza en tiempo
real de tal manera que mientras el cliente navega
también lo hace el browser local.[8]
4.2 Plataformas Soportadas.
Las plataformas soportadas oficialmente son:
OpenBSD(i386), Redhat linux(i386), y Solaris (SPARC).
Las plataformas no oficiales son: FreeBSD, Linux
Debian, Linux Slackware, AIX y HP-UX. Existe una
versión mas antigua para Windows que se puede
obtener de:
http://www.datanerds.net/~mike/dsniff.html
Y una versión para MacOS X esta disponible en:
http://blafasel.org/~floh/ports/dsniff-2.3.osx.tgz.
4.3 Componente Adicionales Necesarios.
El paquete dsniff necesita de paquetes adicionales:
Berkeley DB
Open SSL
Libpcap
Libnet
libnids
Open BSD
Dsniff ya integra los tres primeros paquetes en el sistema
básico, por tanto solo faltarían libnet y libnids. Linux,
Solaris y la mayoría de sistemas operativos (incluyendo
RedHat) requieren construir los paquetes adicionales
primero. El software requiere también un conocimiento
básico de seguridad en redes para un uso apropiado.
4.4 ¿Como detectar dsniff en una red?
En la capa 2: Examinando cambios en el mapeo de ARP
en la red local, tales como los generados por arpspoof o
macof. En la capa 3 un sniffer puede monitorear las
anomalías comunes de la red o efectos secundarios de
ataques activos con dsniff: Puertos ICMP Unreachable,
al servi dor DNS local, como resultado de cuando dnspoof
responde primero a una búsqueda DNS con datos.
Inundamiento TCP de RST’s o ACK’s causados por
tcpkill y tcpnice.
4.5 ¿Cómo proteger una red contrs dsniff?
En la capa 2 activando la seguridad en los puertos de un
switch o forzando entradas ARP estáticas para ciertos
hosts, esto ayuda a proteger contra redirección de trafico
ARP capturado mediante spoofing.
En la capa 3 IPSEC a la par con servicios de nombres
seguros y autenticados (DNSSEC) pueden prevenir la
redirección usando dnsspoof y el sniffing pasivo.
En la capa 4 no se deben permitir protocolos de
aplicaciones inseguras o protocolos de tipo cleartext en
la red. Dsniff es útil porque ayuda a detectar violaciones
a estas políticas de seguridad, especialmente cuando es
usado con la opción magic (dsniff -m) en modo de
detección automática de protocolo. [7]
El tráfico normal funciona de la manera planteada en el
siguiente ejemplo:
1. El nodo A transmite un frame al nodo C.
2. El switch examina el frame y determina el host hacia el
que va dirigido. Luego abre una conexión entre el nodo A
y el nodo C de tal manera que tienen una conexión
privada.
3. El nodo C recibe el frame y examina la dirección.
Después de determinar que es el host de destino,
procesara el frame. Es importante observar que el host
lleva a cabo la verificación de la dirección de destino a
pesar de que el switch “garantiza” que es el host
correcto. En general cuando el Nodo A se quiere
comunicar con el Nodo C en la red, envía una petición
ARP. El nodo C enviara una respuesta ARP que incluirá
su dirección MAC. Incluso en una red switcheada, esta
petición ARP inicial es enviada broadcast. Es posible
que un Nodo B envié una respuesta ARP falsa no
solicitada al Nodo A. Esta respuesta ARP falsa
especificara que el nodo B tiene la dirección MAC del
Nodo C. El Nodo A, enviara el trafico al nodo B porque el
cree que tiene la dirección MAC correcta. Esta técnica se
denomina “ARP Spoofing” y se usa la utilidad del
paquete dsniff “arpspoof”. Este ejemplo aplica para redes
que estén compartiendo un gateway específico.
4.6 Técnicas de Defensa:
Para defenderse contra el posible uso malintencionado
de dsniff y sus herramientas adicionales se deben tener
en cuenta ciertos aspectos: Codificando la dirección
MAC del Gateway en el Switch ayuda a prevenir el
spoofing de ARP. Sin embargo un ataque “MAC Flood”
puede ser llevado a cabo sobre el Switch. Un MAC
Flood es cuando una cantidad de direcciones basura
llenan la memoria del Switch (la herramienta de dsniff
usada para este fin es denominada “macof”). En
maquinas Linux, al adicionar la dirección MAC a cada
maquina en el archivo “etc/others” previene el envió y la
recepción de solicitudes y respuestas de ARP. La
utilidad denominada “arpwatch” puede ser utilizada para
enviar un correo al administrador si se detecta en la red
que una dirección MAC no corresponde. Las utilidades
de dsniff pueden ser usadas para interceptar passwords,
e-mails, conversaciones con mensajes instantáneos, y
otros tipos de información potencialmente crítica. Por
tanto, estas herramientas deben ser usadas con gran
precaución y solo usuarios autorizados deberían tener
acceso al servidor que esta monitoreando la red, también
es indispensable implementar controles de acceso
estrictos. Existen dos utilidades que vienen con dsniff y
24
pueden ser usadas efectivamente para controlar el ancho
de banda, “tcpkill” y “tcpnice”. “tcpkill” puede ser usada
para eliminar conexiones desde o hacia un host, red,
puerto o una combinación de los anteriores [9].
4.7 Monitores de una Herramienta de dsniff.
Para poder entender como opera una red y para
descubrir problemas de congestión y otros es necesario
monitorear la red. Esta técnica permite descubrir
rápidamente si la red tiene problemas o si un host
particular o un conjunto de hosts están usando una
cantidad excesiva de ancho de banda. Dsniff contiene
herramientas que permiten monitoria y auditoria de
redes, ha recibido una gran cantidad de prensa negativa
porque es gratis y puede ser ejecutada desde cualquier
computador en una red para hacer sniffing de tráfico,
interceptar conexiones SSL, asaltar una red etc. Además
se encuentra disponible en las dos plataformas
tradicionales: Windows y Linux [10].
El arte de hacer sniffing de tráfico de red, o capturar
paquetes que viajan por el cable ha sido uno de los
métodos más fructíferos de cualquier ataque malicioso.
El atacante puede obtener información sensible muy
importante simplemente corriendo un sniffer en una red
ethernet o Token Ring . La solución tradicional para
quienes poseen dinero es la encripcion, para quienes no
lo tienen, ha sido pasar de las redes ethernet
compartidas tradicionales a redes switcheadas. Pero
todo esto ha cambiado con dsniff, con un programa de
redirección de ARP (Protocolo de Resolución de
Direcciones) y forwarding de IP, un atacante puede
hacerle sniffing a cualquier estación que se encuentre
dentro de una red switcheada. Pocos administradores
conocen actualmente esta técnica y por tanto no aplican
seguridad para contrarrestarla [11].
5. StegDetect V5.0
StegDetect es una herramienta automática para detectar
contenido esteganografico en imágenes, es capas de
detectar información introducida por varios métodos en
archivos JPEG. Actualmente detecta los información
incluida por los siguientes programas:
• jsteg
• jphide (unix and windows)
• invisible secrets
• outguess 01.3b
• F5 (header analysis)
• appendX and camouflage.
5.1 Esteganografia [12]
Esteganografia es el arte y la ciencia de esconder las
comunicaciones. Un sistema esteganografico introduce
contenido oculto en un medio contenedor de tal manera
que su presencia no pueda ser detectada. Básicamente
el proceso esteganografico comienza encontrado los bits
de información redundante en el medio contenedor que
se piensa utilizar, luego se remplazan estos bits con los
bits de información del mensaje oculto.
El propósito de los sistemas esteganograficos modernos
es ocultar información para que no solo no pueda ser
recobrada sin tampoco detectada pero el proceso mismo
siempre deja rastros.
• Se puede hablar de tres características básicas
de los sistemas de ocultamiento de información:
• Capacidad: Cantidad de información que puede
ser escondida.
• Seguridad: La facilidad para ser detectada.
• Robustez: Cantidad de información que puede
ser modificada en el medio portador antes de
destruir la información oculta.
Los sistemas para ocultar información se pueden dividir
en dos; sistemas de marcas de agua y sistemas
esteganograficos. En los sistemas de marca de agua se
busca alta robustez por otro lado en los sistemas
esteganograficos se busca capacidad y seguridad.
La seguridad en los sistemas esteganograficos por lo
general se basa en un sistema adicional de encripcion.
5.2 Esteganografia en JPEG [13]
Aunque los principio de la esteganografia son aplicables
a diferentes tipos de formatos de archivos de datos
usados actualmente no enfocamos solo en archivos
JPEG por que la herramienta analizar solo funciona
sobre estos archivos.
Para entender las herramientas de esteganografia sobre
JPEG es necesario hacer una pequeña reseña de la
especificación del formato.
Primero que todo el formato JPEG puede o no comprimir
la información y puede comprimirla con o sin perdidas. A
continuación se muestra un esquema general de los
pasos necesarios para guardar una imagen en este
formato (Fig11):
Conversión SubSampling Calculo
a YCbCR YCbCR Coeficientes CDT
Cuantización de los Cuantización de los
Coeficientes en Orden ZigZag Coeficientes en Orden Natural
Fig11. Esquema General Esteganografia JPEG
El YCbCr es un sistema cromático análogo al RGB en el
que se tiene una dimensión de intensidad (Y) y dos
cromáticas (CB: Azul Amarillo, Cr: Rojo Verde) esta
conversión ser hace para aprovechar las características
de la visión humana de no tener alta capacidad de
resolución en las dimensiones cromáticas, luego el
segundo proceso disminuye la resolución en Cr y Cb
hata un punto que todavía no es detectable por el ojo
humano.
25
El tercer paso es uno de los mas importantes y se trata
de calcular la transformada coseno discreto de
subconjunto de la imagen (de hecho grupos de 8*8
píxeles). La transformada coseno discreto pasa la
información de la imagen al dominio de la frecuencia, de
cierto modo es análoga a la transformada de Fourier. El
propósito de este paso al igual del paso uno es llevar la
información de la imagen a un dominio en el que sea
mas fácil de detectar y eliminar la información
redundante.

Los pasos 4 y 5 eliminan y reorganizan algunos de los

coeficientes generados en le punto 3 para propósitos de
Fig12. Frecuencias de Coeficientes DCT[12]
este articulo no es necesario entrar en detalles de estos
pasos.
Esta propiedad es la que utiliza StegDetec para
determinar si hay o no información oculta en un archivo.
Básicamente para utilizar las imágenes JPEG como
medios esteganograficos lo que normalmente se hace es
remplazar el bit menos significativo de cada uno de los A continuación se muestra un ejemplo de una imagen
coeficientes DCT con los bits de la información que se utilizada para esconder un archivo. (Fig13 y Fig14)
quiere ocultar, se debe tener cuidado de solo utilizar los
coeficientes diferentes de cero o uno para no modificar
muchos las propiedades básicas de la imagen.

Como se puede ver de lo ya reseñado la inclusión de la

nueva información siempre modificara de alguna forma la
imagen original la idea es hacerlo de la manera menos
indetectable posible. De hecho existe un máximo de
información que puede ser introducida en un archivo y
esta depende de la cantidad de información redúndate
presente en la imagen original.

Existen algunas herramientas como Invisible Secrets que

no ocultan la información de la manera antes reseñada Fig13. Imagen original 28(KB)
sino que adicionan la nueva información a los
encabezados de la imagen, esto en términos generales
no es considerado verdadera esteganografia JPEG.

En el proceso de detección de información oculta den un

archivo JPEG seria ideal tener una copia de la imagen
original para poder compararla con el archivo analizado y
poder ver que si existen diferencias es por que se anexo
información oculta. Desgraciadamente en la mayoría de
los casos esto no es posible por lo que la estrategia de
detección de información debe ser otra.

La estrategia que usa la herramienta que ahora

analizamos se basa en que el proceso de inserción de la
información modifica las estadísticas de primer orden. En
la imagen que se muestra a continuación tenemos los
histogramas de los coeficientes DCT de la imagen antes
de ser adicionada la información adicional (a) y luego de
ser adicionada la información adicional (b). [1]
Como se puede ver en a l s imágenes (Fig12) el cambio
mas notable es la disminución de las diferencias de las
frecuencias de coeficientes contiguos, este efecto se
debe a que en términos frecuenciales lo que sucede
cuando se introduce la nueva información es el filtrado
de las frecuencias altas de la imagen que no son muy
relevantes para el ojo humano y por eso no se puede
apreciar diferencias entre las imágenes después de
procesadas.
Fig14. Imagen Modificada 1.475(KB)
La imagen fue modificada utilizando jphide.
5.3 Análisis de la Herramienta.
Para analizar la herramienta se trato de generar archivos
JPEG con información oculta con otros los programas
que reporta reconocer StegDetect pero sólo se pudo
hacer pruebas con jsteg, jphide y invisible secrets, de
outguess y f5 se obtuvo el código fuente pero nos fue
imposible resolver los problemas de compilación.
Las pruebas se llevaron a cabo con las versiones
Windows 2K de las herramientas.

26
5.3.1 JSTEG
Con esta herramienta nunca se obtuvieron resultados
esperados pero para dar crédito a StegDetect creo que
se trataba mas por un problemas de Jsteg, de todos los
archivos que se originaron con esta herramienta nunca
se pudo recuperar la información embebida ni con esta
herramienta ni con otras a pesar de que la herramienta
reportaba el proceso de creación como exitoso y de que
el tamaño del nuevo archivo era diferente del de la
imagen original.
Siembargo en algunas de las pruebas realizadas
StegDetect reportaron positivos verdaderos.
coeficientes DCT sino que esconde la
información en le encabezado del archivo JPEG.
• En documentación no oficial de StegDetect se
reporta que el programa tiene problemas o no
funciona del todo con JPEG comprimido.
Ejemplo de resultados obtenidos:
Colinas azules8.jpg : error: Unsupported marker type
0x22
6. Autopsy y Task
6.1 Historia [15]

Puesta de sol3.jpg : jsteg(***) (positivo verdadero)

blanco.jpg : negative
blanco2.jpg : negative
blanco2b.jpg : negative
blanco3.jpg : negative
blanco4.jpg : negative
El diseño de TASK y de Autopsy está basado en el
(se esperaba positivo)
diseño de sus predecesores, respectivamente The
(se esperaba positivo)
Coroner’s toolkit (TCT) y TCTUTILs. Para mejor entender
(se esperaba positivo)
TASK y Autopsy, es importante entender sus raíces, su
(se esperaba positivo)
historia.
(se esperaba positivo)

En el año 200; Dan Farmer y Wietse Venema lanzaron la

5.3.2 JPHIDE
primera versión de TCT. TCT es una colección de
herramientas de comando UNIX para recolectar
Los resultados sobre los archivos generados con jphide información de sistemas y analizar sistemas de archivos
fueron los más acordes con lo que se esperaba. FFS y EXT2FS.

No se encontró un falso positivo. Las herramientas de adquisición de información en TCT

En la mayoría de los casos StegDetect detecto la
presencia de información oculta, los únicos casos en los
que no fue detectada era cuando el tamaño de la
información oculta era muy pequeño con relación a la
capacidad de la imagen original (aproximadamente un
<20%). Además esta relación es fácil de calcular con
jphide por que en el momento de creación del archivo
reporta el porcentaje de utilización de la capacidad del
medio.
Ejemplo de resultados obtenidos:
Nenúfares2.jpg : jphide(***)
Nenúfares3.jpg : jphide(***)
Nenúfares4.jpg : jphide(***)
Nenúfares5.jpg : negative
5.3.3 Invisible Secrets
Con invisible secrets tambien se tuvieron muchos
problemas, de hecho nunca se pudo correr una prueba
completa, al trata de correr StegDetect encontraba
problemas con el formato de la imagen y abortaba. Pero
la imagen era aceptada por otros programas de lectura
de JPEGs.
incluyen ‘grave-robber’ y ‘pcat’, que permite copiar
información importante de un sistema en vivo.
Herramientas de análisis de sistemas de archivos
incluyen ‘ils’ e ‘icat’ que permiten analizar las estructuras
inodos de los sistemas de archivos UNIX y la
herramienta ‘mactime’ que hace líneas de tiempo de la
actividad del archivo.
Una limitación de TLT era que las herramientas de
sistemas de archivos sólo operaban en el nivel de bloque
e inodo. Por lo tanto no había noción de nombres de
archivos y directorios durante un análisis post-mortem.
Otra limitación era la dependencia de la plataforma. El
sistema de análisis debía ser el mismo SO que el
sistema analizado. Por ejemplo, si un sistema Solaris era
investigado, entonces la plataforma de análisis tenia que
ser Solaris. Además no existía soporte para el análisis de
sistemas de archivos FAT y NTFS.
Para arreglar estas limitaciones, se desarrolló TCTUTILs,
que era una adición al TCT y preveía herramientas que
listarían las estructuras de archivos y directorios en el
sistema de archivos y mapeaba las estructuras en
diferentes niveles del sistema de archivos. Por ejemplo,
identificar cual archivo era ubicado en un inodo dado y
que inodo tiene alocado un bloque dado.

Al leer documentación [14] de ambos productos para
tratar de encontrar la causa del problema se encontraron
las siguientes posibilidades:
• En documentación no oficial de Invisible Secrets
exponen que este programa no utiliza el método
modificación del bit menos significativo de los
Al mismo tiempo, Autopsy 1.00 fue lanzado. Autopsy fue
desarrollado porque TCT y TCTUTILs era de comando y
eran tediosos cuando se quería analizar una imagen de
un sistema de archivos entero. Autopsy es basado en
HTML y está presente en un browser de HTML.
TASK 1.00 fue lanzado y unía las herramientas de
análisis de sistemas de archivos de TCT con TCTUTILs
27
en un paquete y adicionó nuevas utilidades. Como la
remoción de la dependencia de la plataforma, soporte del
sistema FAT. La versión 1.50 añadió soporte a NTFS.
Autopsy 1.50 fue mejorado para soportar la
independencia de plataformas de TASK 1.00, Autopsy
1.60 fue mejorado para soportar TASK 1.50, y Autopsy
1.70 soporta TASK 1.60.
6.2 Diseño de Task
Como fue mencionado anteriormente el diseño de las
herramientas de sistemas de archivos están basadas en
el diseño original de TCT. El principio básico de las
herramientas es procesar manualmente el sistema de
archivos. Típicamente, cuando un sistema de archivos es
montado, el Sistema Operativo (SO) lee las diferentes
estructuras en el disco por sí mismo. Con TASK y otras
herramientas forenses, esto es hecho por la herramienta
por si misma y el soporte nativo del SO no es necesitado.
Por lo tanto, aún cuando Solaris no tiene un soporte
NTFS en su kernel se puede analizar una imagen NTFS.
La meta de TASK es la de proveer al investigador con
toda la información en el sistema de archivos. TASK es
una herramienta de extracción de información que
analiza una imagen de una gran sistema de archivos y
genera diferentes partes de el en un formato más fácil de
entender. En algunos casos, se obtendrá más
información de la necesitada, pero toda es presentada.
Para proveer acceso a toda la información, se usa un
modelo basado en capas.
6.2.1 Capa de Unidad de información: Es donde el
contenido de los archivos y directorios están guardados.
En general, el espacio de disco es ubicado de acá
cuando el SO lo necesitaba. Las unidades de
información tienen un tamaño fijo y la mayoría de
sistemas de archivos necesitan que sean de potencias
de 2, por ejemplo 1024-4096. Las unidades de
información son también llamadas clusters o fragmentos
dependiendo del sistema de archivos.
6.2.2 Capa de Meta data: Es donde la información
descriptiva de los archivos y directorios está guardada.
Ésta capa incluye las estructuras inodo en UNIX, las
entradas MFT en NTFS, y estructuras de entradas de
directorios en FAT. Esta capa contiene información como
los tiempos de últimos accesos. permisos y apuntadores
a las unidades de información que fueron ubicados por el
archivo o directorio. Esta capa describe completamente
un archivo.
6.2.3 Capa de Nombre de archivo: Es donde el nombre
del archivo o directorio es guardado. En general, es una
estructura diferente a la estructura meta data. La
excepción es en el sistema de archivos FAT. Los
nombres de los archivos son generalmente salvados en
unidades de información que el directorio padre ubica.
Las estructuras de nombres de archivos contienen el
nombre y la dirección de la correspondiente estructura
meta data.
6.2.4 Capa del sistema de archivos: Es donde toda la
información específica al sistema de archivos es
guardada. Por ejemplo, el tamaño de las unidades de
información y la cantidad de estructuras inodos que hay.
Esta capa contiene los valores que identifican cómo el
sistema de archivos es diferente de otro del mismo tipo.
Actualmente existen 11 herramientas que operan en
estos niveles. Cada una tiene un nombre basada en el
nivel que trabaja y su función. La primera letra
corresponde a la capa que pertenece, así: [14]
Primera letra Capa
D Unidad de información
I Meta data
F Nombre de archivo
fs Sistema de archivos
Tabla1. Correspondencia letra-capa.
El final del nombre de la herramienta, corresponde a su
función, así:
Final del Función
nombre
ls Lista la información en la capa
cat Despliega el contenido en la capa
stat Despliega detalles de un objeto en la
capa
find Mapea otras capas a su capa
calc Calcula “algo” en la capa
Tabla2. Función de la Herramienta.
Esta combinación da como resultado las siguientes 11
herramientas:
Unidad de Información: dls, dcat, dstat, dcalc
Meta Data: ils, icat, istat, ifind
Nombre del archivo: fls, ffind
Sistema de Archivos: fsstat
Además hay incluidas en TASK unas herramientas de
capa de aplicación. Para hacer hash, la MD5 y SHA-1.
La última versión de ‘file’ sirve para facilitar la
identificación de los tipos de archivos. La herramienta
‘sorter’, usa las herramientas de extracción como fls e
icat, ‘file’ y MD5, para organizar una imagen de un
sistema de archivos por el contenido de los archivos. Por
ejemplo, todas las imágenes gráficas son identificadas.
En conclusión TASK es modular y provee acceso a todas
las capas del sistema de archivos.
6.3 Diseño de Autopsy.
Autopsy fue diseñado para ser una herramienta de
eficiencia para TASK. Autopsy no conoce nada de las
estructuras del sistema de archivos o algoritmos de
búsqueda en las bases de datos Hash. Sólo sabe cuál
herramienta existe, que parámetros necesitan de
entrada, darle formato a la salida y desplegar la salida en
formato HTML.
En su principio, Autopsy era un script CGI que requería
un servidor HTTP aparte para correr, como por ejemplo
28
Apache. Pero antes del primer lanzamiento, se le
adicionó un servidor HTTP.
Autopsy provee al usuario acceso a las mismas capas
que TASK usa y brinda una funcionalidad de más alto
nivel, como las líneas de tiempo y la ordenación por tipo
de archivo. En conclusión, Autopsy trata de hacer la vida
más fácil realizando las operaciones tediosas que TASK
requiere.
6.4 Técnicas de Búsqueda de Evidencia.
6.4.1 Listado de Archivos: Analiza los archivos y
directorios incluyendo los nombres de los archivos
borrados.
6.4.2 Contenido de Archivos: Éste puede ser visto en
forma hex, “raw” o se pueden extraer las cadenas ASCII.
Cuando la información es interpretada, Autopsy la sanea
para evitar daños al sistema local de análisis.
6.4.3 Base de datos Hash: Busque archivos
desconocidos en una base Hash para identificarlo
rápidamente como bueno o malo. Autopsy usa la NIST
(Librería Nacional de Referencia de Software) y bases de
datos del usuario para lograr estas identificaciones.
6.4.4 Línea de tiempo de la Actividad del Archivo: En
algunos casos, tener una línea de tiempo de la actividad
del archivo puede ayudar a identificar las áreas del
sistema de archivos que puedan contener evidencia.
Autopsy puede crear líneas de tiempo que contengan
entradas para los cambios MAC de archivos alocados y
no alocados.
6.4.5 Análisis de Meta data: las estructuras Meta Data
contienen detalles de archivos y directorios-Autopsy
permite ver los detalles de cualquier estructura meta data
en el sistema de archivos. Esto es útil para recuperar
contenido borrado. Autopsy buscará en los directorios
para identificar la ruta completa del archivo que tiene la
estructura.
6.4.6 Análisis de Unidades de Información: Las
unidades de información son donde el contenido de los
archivos es guardado. Autopsy permite ver los
contenidos de cualquier unidad de información en una
variedad de formatos como los son ASCII, hex y
cadenas. Autopsy también puede buscar por tipo de
archivo.
6.4.7 Detalles de Imágenes: Los detalles de los
sistemas de archivos pueden ser vistos, incluyendo el
layout del disco y tiempos de actividad.
6.4.8 Integridad de la imagen: Es crucia asegurar que
los archivos no son modificados durante el análisis.
Autopsy, por defecto, genera un valor MD5 para todos
los archivos importados o creados. La integridad de
cualquier archivo que Autopsy use puede ser validada en
cualquier momento.
6.4.9 Reportes: Autopsy puede crear reportes en ASCII
para las estructuras de archivos o sistemas de archivos.
6.4.10 Log: Todo los pasos que se realizan durante el
análisis son grabados en un log, para facilitar la
reproducción de los pasos.
6.5 Autopsy 1.7 Administración de Casos [15]
Antes de la version 1.70, había muy poca noción de la
administración de casos en Autopsy. La administración
de casos en la versión 1.70 se diseñó para manejar
investigaciones grandes y globales con sistemas
múltiples en múltiples zonas horarias. Toda la
administración es hecha usando una interfaz gráfica y los
directorios han sido organizados para aplicar restricción
de permisos. Además hay varios tipos de logs y
auditorías que se desarrollaron.
La organización de la administración utiliza directories y
archivos de texto ASCII. Fue diseñada para hacer más
fácil archivar casos y proveer consistencia. Usa un
diseño abierto y genérico para que cualquier herramienta
pueda sacar provecho de la información sospechosa.
Cada investigación empieza con un caso. El caso incluye
información como el nombre una pequeña descripción y
una lista de investigadores que estarán involucrados en
el análisis. Para manejar un incidente de múltiples
sistemas, cada caso puede contener uno o más hosts.
Cada host corresponde a un sistema cuya información
está siendo utilizada en el análisis y cada uno puede
tener su propia zona horaria. Con esta información,
Autopsy puede correlacionar eventos que pasaron en
diferentes zonas horarias automáticamente.
Cada host tiene múltiples imagenes. Cada imagen
corresponde a un sistema de archivos en el sistema
sospechoso. Un sistema Windows con solo una partición
'C:\' tendrá una imagen mientras un sistema Solaris con
5 particiones tendrá 5 imágenes.
6.5.1 Detalles de los Casos
Cada caso tiene un directorio en el Evidence Locker. El
nombre del directorio corresponde al nombre del caso.
Para renombrar un caso, simplemente se renombra el
directorio.
# mv caso_viejo caso_nuevo
El archivo case.aut es el archivo de configuración del
caso. Contiene la fecha de creación del caso y los
nombres de los directorios que están reservados para
uso futuro.
El archivo case.log es el archivo de auditoria para el
caso.
El archive investigators.txt contienen una lista de todos
los investigadores involucrados en la investigación. Estos
nombres se usan para log y no para autenticación.
29
6.5.2 Detalles de Host
Cada Host tiene un directorio en el directorio del caso.
Por lo tanto, para renombrar el host simplemente se
renombra el directorio.
El directorio del host contiene 5 directorios:
• images: Donde están ubicadas todas las
imágenes del sistema
• logs: Donde están guardados todos los archivos
de log del caso.
• output: Donde están todos los archivos de
output generados por autopsy.
• reports: Contiene los reportes creados por
Autopsy.
El archivo de configuración del host, el host.aut, está
localizado en el directorio del host. Contiene las entradas
de los archivos usados por el host y la zona horaria.
6.5.3 Detalles de la Imagen.
Cada imagen debe ser localizada en el directorio de
imágenes el host. Cuando la imagen es analizada toda la
información generada es salvada en el directorio output.
6.5.4 Detalles de los Logs.
El archive autopsy.log contiene entradas por cada vez
Autopsy es empezado o apagado. Este log identifica
cuando se empezó Autopsy, en qué Puerto y en cual
host.
Los logs de los casos están guardados en el archivo
case.log. Este log contiene las entradas para cuando fue
creado el caso, cuando es abierto y cuando los hosts en
el caso son abiertos.
III. CONCLUSIONES
Conclusión de FIRE:
La principal ventaja de F.I.R.E frente a sus competidores
es la simplicidad que proporciona al ser un ambiente de
investigación portátil.
Vale la pena decir que este kit forense es de distribución
libre, lo que claramente es una ventaja frente otros kits.
Sin embargo, debido a que es una compilación de
herramientas, la documentación no siempre es completa
y en ocaciones resulta difícil aprovechar plenamente las
funcionalidades del kit.
La calidad de las herramientas que proporciona F.I.R.E
es una mezcla de programas excelentes y proyectos por
terminar. De acuerdo a esto, es necesario familiarizarse
con la herramienta antes de empezar debido a que en
ocasiones hay más de una herramienta que juega el
mismo papel dentro del Kit, lo que hace necesario
escoger la mejo opción.
F.I.R.E comprende probablemente la totalidad de las
herramientas que un investigador puede necesitar para
atender una situación relacionada con Informática
Forense. Adicionalmente proporciona herramientas útiles
para el administrador como antivirus, un S.O. básico y un
Test de penteración
Conclusiones de Disk Investigator:
Disk Investigator permite visualizar todo el contenido de
un disco sin tener en cuenta el sistema operativo, sin
embargo solo soporta sistemas de archivos FAT12,
FAT16, FAT32 y NTFS, por lo cual no hace posible su
utilización para análisis forense en estos sistemas de
archivos, lo cual puede ser una limitación.
El algoritmo de recuperación de archivos borrados, solo
tiene en cuenta los encabezados de los mismos, lo cual
no asegura su recuperación debido a que los cluster y
sectores asignados al archivo por el sistema operativo
antes de ser borrado, pueden ser nuevamente asignados
en la creación de nuevos archivos. Su limitación consiste
en que solamente recupera en sistemas de archivos FAT
no NTFS.
La utilidad de la herramienta en el análisis forense se
encuentra en que esta permite obtener la información del
medio de almacenamiento (floppy, disco duro,
memorias), revisar el contenido completo del disco
saltándose así la ilusión del sistema de archivos, con lo
cual se puede obtener información del espacio libre (no
utilizado) y del espacio no alocado. Además permite
realizar búsquedas por contenido con lo cual se puede
conseguir la información deseada. Su limitación es que
no permite manejar los sectores dañados del disco (bad
sector), en los cuales puede haber información
escondida.
Como ya se ha mencionado esta aplicación tiene ciertas
limitaciones: no maneja bad sectors, no maneja sistemas
de archivos diferentes a FAT y NTFS, y no permite
recuperar información de sistemas NTFS, además en el
modo directorio no permite visualizar el contenido del
disco si el directorio raiz o la el sector de FAT se
encuentran borrados en el disco, con lo cual tiene utilidad
forense en casos restrictivos.
Conclusiones de Gpart:
GPART no se comporta bien con particiones extendidas,
pero resulta muy útil para la reconstrucción de tablas
primarias de particiones, en especial cuando el objetivo
es recuperar particiones primarias o lógicas que han sido
borradas.
GPART es práctica porque permite desprenderse del
límite impuesto por la tabla primaria de particiones y el
sector 0. Con un poco de práctica se logran archivos de
patrones que minimizan los errores y aumentan la
probabilidad de éxito, sin embargo es una herramienta
que requiere de tiempo por parte del investigador para su
afinamiento.
30
Conclusiones de Wipe:
WIPE es una herramienta necesaria en ambientes de
trabajo en los que la seguridad de la información es
importante en el momento de desechar o cambiar la
función de almacenamiento de un dispositivo magnético.
El borrado seguro opera de forma correcta, sin embargo
la restricción impuesta por fdatasync [6] es que la unidad
soporte la desactivación del cache, cosa que no es un
estándar y no se puede garantizar que este presente en
todos los equipos. La herramienta permite configurar
algunas opciones como por ejemplo el número de
pasadas.
Conclusión de Dsniff:
Dsniff es una herramienta de gran ayuda para monitoreo
y auditoria de redes. Existen otras formas de monitorear
una red pero esta forma es completamente favorable en
lo que se refiere a costos porque las herramientas
mencionadas son de libre distribución. La única solución
real para el arp-spoofing es la encripcion de datos.
Usando aplicaciones que encriptan el tráfico, los usuarios
pueden al menos estar más seguros de que su
información estará a salvo de los ojos espías. La
solución para detectar que se esta realizando arp-
spoofing es monitorear el trafico ARP en la red y detectar
cuando han cambiado las entradas ARP.
Conclusiones de StegDetect.
No creo que las condiciones en que se llevaron a cabo
las pruebas ni el numero de pruebas sirva para sacar
una conclusión relevante acerca de la efectividad y / o
eficiencia de StegDetect lo que si es cierto es que en
general esta herramientas están en un estado básico de
desarrollo por lo que tiene múltiples problemas de
confiabilidad y estabilidad, en muchas ocasiones aparte
de las reportadas como pruebas fallidas los programas
bloqueaban el sistema. La única excepción es Invisible
Secrets que además de ser la única con GUI no se trabo
nunca, cabe señalar que es la única de esta herramienta
que no es freeware.
Existen otras herramientas como StegHide para
esconder información en archivos JPEG pero como la
documentación de StegDetec no reporta la detección en
los archivos generados por estas herramientas no se
hicieron pruebas con estos archivos.
VI. REFERENCIAS
[1] F.I.R.E
http://fire.dmzs.com
[2] Disk Investigator.
http://www.theabsolute.net/sware/dskinv.html
[3] Ayuda de la aplicación Disk Investigador. Kevin
Solway 2002.
[4] Michail Brzitwa, “gpart MAN-PAGE”.
http://www.stud.uni-hannover.de/user/76201/gpart/gpart-
man.html
[5] Nester, “wipe: Secure file deletion”.
http://wipe.sourceforge.net/
[6] WyrmCorp, “Wipe manual”.
http://www.wyrmcorp.com/software/archive/tut/wipe.shtml
[7] Dug Song. Dsniff
http://www.monkey.org/~dugsong/dsniff/.
[8] DataNerds, Dsniff.
http://www.datanerds.net/~mike/dsniff.html
[9] Oshu, Dsniff: Use and Abuse.
http://web.textfiles.com/hacking/dsniff.txt
[10] Duane Dunston (GSEC), Network Monitoring with
Dsniff.
http://www.linuxsecurity.com/feature_stories/feature_stor
y-89.html
[11] Stuart McClure & Joel Scambray, Switched Networks
Lose Their Security Advantage Due To Packet Capturing
Tool
http://archive.infoworld.com/articles/op/xml/00/05/29/0005
29opswatch.xml
[12] Hide and Seek: An Introduction to Stegangography.
Niels Provos and Peter Honeyman, IEEE Security &
Privacy Magazine, May/June 2003.
[13] Extracting datta embedded with Jsteg.
http://www.guillermito2.net/stegano/jsteg/
[14] Invisible Secrets
http://www.invisiblesecrets.com
[15] The Sleuth Kit Informer. Issue 1
http://www.sleuthkit.org/informer/sleuthkit-informer-
1.html#jail
[16] The Sleuth Kit Informer. Issue 2
http://www.sleuthkit.org/informer/sleuthkit-informer-
2.html#caseman
:: Camilo Vergara
:: ca-verga@uniandes.edu.co
:: Estudiante de Ingeniería de Sistemas y Computación.
Universidad de los Andes. Bogotá. Colombia.
:: Carlos I. Ospina
:: ca-ospin@uniandes.edu.co
:: Estudiante de Ingeniería de Sistemas y Computación.
Universidad de los Andes. Bogotá. Colombia.
:: Jaime A. Rojas
:: jai-roja@uniandes.edu.co
:: Estudiante de Ingeniería de Sistemas y Computación.
Universidad de los Andes. Bogotá. Colombia.
:: Juan F. Carrillo
:: j-carril@uniandes.edu.co
:: Estudiante de Ingeniería de Sistemas y Computación.
Universidad de los Andes. Bogotá. Colombia.
:: Mauricio Rangel
:: ma-range@uniandes.edu.co
:: Estudiante de Ingeniería de Sistemas y Computación.
Universidad de los Andes. Bogotá. Colombia.
31
Introdução
Funcionários que utilizam a Internet para fins ilegais,
colaboradores que acessam informações não-
autorizadas, concorrência desleal, invasores que
destroem arquivos críticos: estes são alguns exemplos
de ameaças que enfrentamos no dia-a-dia –
principalmente em ambientes de forte concorrência. O
curso de forense computacional vem ao encontro desta
nova necessidade: investigar situações anômalas ou
suspeitas, identificar e nomear ocorrências, coletar
provas.
Forensics significa investigar, averiguar – é o termo
utilizado para caracterizar o processo de coleta de
evidências que possibilitem um juízo seguro acerca de
determinada situação.
Podemos descrever forense computacional como sendo
o processo de investigação de eventos não-autorizados
através da coleta, autenticação e análise das
informações relacionadas. A proposta é realizar uma
investigação sobre ações de burla a controles de
segurança utilizados na organização.
Público Alvo
Este curso destina-se a Security Officers, Consultores de
Segurança, Auditores, Gestores de Tecnologia, Gestores
Administrativos, Advogados, Acadêmicos, entre outros.
Turno P
rimeiro Dia
Vagas
40 alunos / 1 turma
Objetivo
• Apresentar ao participante os termos, conceitos,
normas e metodologias de análise forense em
tecnologia da informação;
• Apresentar software e ferramentas comumente
utilizadas durante o processo de perícia;
• Alertar quanto aos procedimentos que devem ser
tomados no início de um processo de perícia;
• Apresentar referências da disciplina de forensics
com os diversos controles de segurança da
informação.
Conteúdo
1.) Primeiro Dia – Conceitos Gerais da Análise
Forense
Manhã – Equalização de Conhecimentos
• O que é Forensics?
• O que pode ser investigado?
• Caracterização de crime computacional
• Qual é o perfil do perito?
• Estatísticas de crimes virtuais no Brasil e no mundo
Tarde - Incidentes
• Tipos de incidentes
• Como iniciar uma análise forense
• Normas Internacionais de forense
2.) Segundo Dia – Coleta de Evidências e Corrente de
Custódia
Manhã – Evidências
• Checklist para início das Atividades
• Salvaguarda do Ambiente
• Tipos de Evidência
Tarde – Evidências e Processo de Investigação
• Coleta e Preservação de Evidências - Corrente de
Custódia
• Armazenamento e Rótulo de Evidências
• Tipo de investigação: litigiosa e não litigiosa
• Guidelines / Best Practices
3.) Terceiro Dia – Ferramentas de Perícia e Aspectos
Legais
Manhã – Ferramentas de Apoio
• Ferramentas de Auxilio a Perícia Técnica
• Utilização do Software Encase
• Imaging: WinHex, Safeback e Copy Linux
• Analisadores de texto
• Undelete: R-Undelete, Recover4All
• Password Crackers
Tarde – Sobre o ISSFA e Avaliação
• Como funciona o IISFA e outras organizações
internacionais
32
Material Didático Local

Apresentação do tema pela metodologia ativa dirigida, Hotel Paulista Plaza

material para projeção em multimídia. Distribuição de Alameda Santos, 85 - Jardins
material escrito aos participantes e realização de estudos São Paulo – SP
de caso.
Inscrições
Avaliação / Certificados
O valor do curso será de:
Os alunos serão avaliados através de prova escrita com
50 questões. Alunos aprovados na avaliação receberão R$ 2.131,00 para inscrições feitas até dia 21 de junho
certificado comprovando amplo conhecimento em R$ 2.500,00 para inscrições feitas do dia 22 de junho até
Forensics. a data do curso.

Instrutores Estes valores deverão ser faturados em 50% no ato da

F. F. Ramos, CISSP: Consultor de Segurança da
Informação, CISSP, especialista em Security Policies, Risk
Analysis e Security Management, atual Presidente do
IISFA – International Information System Forensics
Association para o capítulo Brasil.
inscrição e restante deverá ser pago no dia 22 de julho.
Estão incluídos neste valor os custos do almoço
individual, coffee-break pela manhã e a tarde para os
três dias do curso.
Para informações sobre inscrições entrar em contato
com:

Victor Hugo Menegotto: Consultor de Segurança da Axur Information Security

Informação, especialista em Forensics e perícia técnica, Andreza Schwerner
conselheiro do Brazilian Chapter da IISFA – International Fone: (51) 3222 2874
Information Systems Forensics Association. E-mail: main@axur.com.br ou aschwerner@axur.com.br
www.axur.com.br

33
 ORQUE IM PLEM ENTAR UM A POLÍTICA DE
SEGURANÇA DA INFORM AÇÃO
José Edmir Pininga Duque
A informação é um dos componentes do patrimônio das
empresas, que muitas vezes é desprezada, diminuída,
até ser perdida. Nesse momento, muitas dores de
cabeça, perda de tempo, dinheiro, esforço e muito
trabalho são gastos na sua recuperação, quando
possível, na elaboração de mecanismos de bloqueio de
acesso e na atribuição de responsabilidades.
Certamente as razões para não seguir uma política de
segurança da informação, poderão ser atribuídas às
dificuldades do excesso de burocracia, lentidão, maiores
custos, etc, quer seja em uma grande empresa ou em
um pequeno escritório. Porém, nunca é demais lembrar
que o conforto é inversamente proporcional a segurança.
Sabe-se que a maldade está presente na natureza
humana. Em todas as civilizações existem registros de
iniqüidades, sempre usando dos recursos disponíveis.
Na cultura ocidental, o primeiro ato de perversidade
registrado, está na Bíblia, como resultado da inveja de
Caim por Abel.
Para os cristãos, Jesus foi crucificado entre dois ladrões.
Para nós brasileiros, Calabar traiu Tirandentes por
vantagem financeira. Depois do homem pisar na lua,
apareceram os espertalhões que venderam terrenos
lunáticos. Pode-se esperar, então, que pessoas
invejosas como Caim, queiram praticar atos de maldade
com as informações da sua empresa; que ladrões como
os que margeavam Jesus, queiram roubar arquivos da
sua rede; que espertalhões que dominam a tecnologia,
por vantagem financeira, queiram praticar atos ilícitos
usando as informações que ora estão armazenadas nos
computadores da sua empresa ou são acessadas
através deles. Uma política de segurança de informação
poderá ajudar a prevenir estes atos.
Sabe-se também, que a segregação de função não pode
ser igual em todas as empresas. A importância de
procedimentos de inclusão de novos usuários e também
os cuidados na saída de usuários terão pesos diferentes
nas diversas empresas.
Reportar incidentes de falhas de hardware pode parecer
de pouca importância para o escritório de contabilidade,
porém para um provedor de acesso à Internet, terá
importância vital.
Esforços para padronização e pontos para certificação, já
estão sendo desenvolvidos, no sentido de minimizar os
trabalhos de elaboração de uma política de segurança da
informação. A Request for Comments (RFC) 2196, a
British Standard BS ISO/IEC 7799-1, a BS ISO/IEC
7799-2, e a Norma Brasileira NRB ISO/IEC 17799 por
exemplo, são atividades com este propósito.
Cuidar desse componente do patrimônio das empresas é
uma função complexa, multidisciplinar, e de
responsabilidade de todos. A existência de um
documento, um conjunto de regras a serem seguidas,
certamente facilitará a observância das atitudes voltadas
à segurança da informação. Assim, o documento Política
de Segurança da Informação, será o instrumento que
dará embasamento à Empresa, tanto nas questões
legais internas, elencando o que pode o que não pode
ser feito, como nas questões de aderência à legislação,
como respeito à lei de direitos autorais.
Nas questões de atribuições de responsabilidades, o log
ou registro de atividades, será certamente a ferramenta
que possibilitará à Empresa, comprovar a existência de
ações delituosas. Para que isto aconteça, a Política
deverá legitimar a prática e justificar os investimentos.
Podemos então intuir que a prática da elaboração,
implementação e manutenção de uma Política de
Segurança da Informação nas Empresas, é uma atitude
salutar que envolve a questão do zelo do patrimônio, o
aspecto de disciplinar, e a visão de irrefutabilidade dos
atos, e que este documento, deve ser elaborado de
conformidade com a Empresa, dentro das suas
particularidades.
:: José Edmir Pininga Duque
:: pininga@alpargatas.com.br
........:: Analista de Suporte - São Paulo Alpargatas
Graduado em Ciência da Computação - PUC / PE, Pós-Graduando
em Internet Security (Advanced School of Internet Security).
34
Foi fundado no dia 15 de abril de 2004 o capítulo Brasil
da IISFA – International Information System Forensic
Association, primeiro capítulo da organização na América
do Sul. A IISFA é uma organização sem fins lucrativos
que tem por missão promover globalmente a disciplina
da análise forense relacionada a ativos de informação. É
hoje a maior comunidade de profissionais especializados
em análise forense no mundo. A IISFA é composta por
profissionais de segurança atuantes em vários campos:
advogados, técnicos, peritos,
educadores, consultores,
auditores – tanto da iniciativa
pública quanta da iniciativa
privada. Com esta iniciativa
nosso objetivo é estar trazendo
para o Brasil um conjunto de
melhores práticas para a tecnologia, não são tratadas de forma
aplicação de perícias técnicas,
área em que nosso país ainda é
muito deficiente.
A inauguração da IISFA contou com a participação de
diversos profissionais atuantes em vários campos. Foram
apresentados: o presidente da IISFA Brasil, Fábio
Ramos, o vice-presidente, Victor Hugo Menegotto, e os
conselheiros, Douglas Mello, Alexandre Horch, Alex
Sventinckas, Rodrigo Azevedo e Marco Vinício Barbosa
Dutra. O evento foi organizado pela AMCHAM –
American Chamber of Commerce e patrocinado pela
Axur Information Security e Silveiro Advogados.
A apresentação foi realizada por Fábio Ramos e Rodrigo
Azevedo. Fábio contextualizou os participantes com
informações sobre Segurança da Informação, abordando
principalmente aspectos estatísticos de invasões,
fraudes eletrônicas e incidentes de segurança no
mercado brasileiro. Rodrigo apresentou o capítulo,
explicando o seu conceito e objetivos, apresentou
também as metas para o ano de 2004. Uma das
principais metas do IISFA Brasil, segundo Rodrigo é
consolidar a cultura de forense computacional no país.
O Brasil é atualmente o maior
originador de ataques, segundo
estatísticas do NIC-BR, o número de
crimes por internet subiu 498% de
2002 para 2003. A grande maioria
das ações criminosas realizadas
através da internet ou por meio da
adequada, tanto no sentido pericial,
quanto no sentido legal.
Para associar-se ao IISFA basta acessar o site
http://www.iisfa.org e realizar o cadastro. Os encontros
deverão ocorrer tanto em São Paulo quanto em Porto
Alegre. O convite é feito a todos os profissionais do país.
Contato:
www.iisfa.org
Fábio Ramos, CISSP
framos@axur.com.br
35
 SIRTS, O CAM INHO PARA UM A RÁPIDA E
EFICIENTE RESPOSTA A UM INCIDENTE DE
SEGURANÇA
Igor Silva
A necessidade de rapidez e eficiência na resposta de um
problema é cada vez mais comum nos dias de hoje.
Principalmente em grandes organizações, este fator é de
extrema importância.
Muitos exemplos podem ser mostrados, como conexão
internet fora do ar, website, correio eletrônico e outros.
Estes incidentes, geram transtornos na operação de uma
organização. Se não existe um processo rígido de
tratamento de incidente e escalonamento eficiente, esta
falha pode causar uma analise vaga, recuperação não
satisfatória, custo de perda extremamente alto e o risco
de uma suposta reincidência.
Este cenário é comum em todos os setores e não
poderia ser diferente na área de segurança. CSIRT
(Computer Security Incident Response Team ou Grupo
de Resposta a Incidentes de Segurança), nada mais é,
que um grupo ou mesmo parte de um time de uma
"Operação" capacitada em receber, analisar e responder
a incidentes de segurança dentro de uma organização. O
CSIRT também é capaz de exercer funções pró-ativas
visando não só prevenir ocorrências, como também
minimizar o tempo de resposta aos incidentes.
A capacidade para responder com rapidez e eficiência a
um incidente de segurança é um elemento essencial
para prover um ambiente seguro dentro de uma
organização. É necessário construir um time
devidamente treinado, definir adequadamente a missão
do grupo, objetivos, processos, políticas e estratégias
permitindo uma interatividade com toda a organização de
uma maneira transparente.
Com a centralização do contato para relatar incidentes,
obtemos:
• Maior controle sobre o incidente;
• Redução do impacto;
• Redução de tempo na recuperação;
• Resposta eficiente do ambiente impactado.
Outro fator muito importante é a comunicação do CSIRT
com outros CSIRTs. Um ótimo exemplo seria a
ocorrência de um grave incidente envolvendo diversas
organizações. A comunicação entre os CSIRTs neste
exemplo, seria o ponto chave para responder com
eficiência o incidente. Este é o caminho para uma rápida
e eficiente resposta a um incidente de segurança. Pode
até parecer fácil, mas exige muita paciência pois é uma
longa caminhada. Na Internet, é possível encontrar vasta
documentação sobre o assunto:
Links
• NBSO (NIC BR Security Office):
http://www.nbso.nic.br/csirts
• CERT: http://www.cert.org/csirts
• CSIRT FAQ: http://www.cert.org/csirts/csirt_faq.html
• Tradução -
http://www.nbso.nic.br/certcc/csirts/csirt_faq-br.html
• FIRST (Forum of Incident Response and
Security Teams) - http://www.first.org
• Handbook for Computer Security Incident
Response Teams (CSIRTs)
http://www.sei.cmu.edu/publications/documents/98.r
eports/98hb001/98hb001abstract.html
Livros
• Incident Response: Investigating Computer
Crime : de Chris Prosise e Kevin Mandia (McGraw-
Hill Professional Publishing, ISBN: 0072131829).
• Incident Response : Kenneth R. van Wyk, Richard
Forno (O'Reilly, ISBN: 0-596-00130-4).
• The Internet Security Guidebook : From Planning
to Deployment de Juanita Ellis, Tim Speed, William
P. Crowell (Academic Pr, ISBN: 0122374711).
• Incident Response : A Strategic Guide to
Handling System and Network Security
Breaches de E. Eugene Schultz, Russell Shumway
(ISBN: 1578702569).
• RFCs : (http://www.ietf.org/rfc.html)
• RFC 2196 - Site Security Handbook
• RFC 2350 - Expectations for Computer Security
Incident Response
:: Igor Silva
:: volcov@terra.com.br
:: Segurança da Informação.
36
37
 INKS

: CCF - Center for Computer Forensics

Empresa especializada em computação forense.
http://www.computer-forensics.net

: Computer Forensic Services

Serviços em computação forense.
http://www.computer-forensic.com

: E-evidence
Centro de Informações em Evidências Eletrônicas.
http://www.e-evidence.info

: Forensic Focus
Notícias sobre computação forense.
http://www.forensicfocus.com

: ForensicPC
Shopping forense.
http://www.forensicpc.com

: Guidance Software
Soluções para computação forense e resposta a incidentes, criadora do software EnCase.
http://www.encase.com

: ILook
Ferramenta usada para capturar e analisar imagens de sistemas.
http://www.ilook -forensics.org

: Linux Forensics
Criadora do CD bootável Penguin Sleuth.
http://www.linux-forensics.com

: Spinelli Corporation
Empresa especializada em investigação e análise forense.
http://www.spinellicorp.com

: Technology Pathways
Produtos para segurança, destacam-se o ProDiscover - Forensics e ProDiscover - Incident Response.
http://www.techpathways.com

38