Professional Documents
Culture Documents
ROTEIRO
1 - Introduo; 2 - Segurana de redes e sistemas; 3 - Segurana em redes sem fio; 4 - Auditoria e anlise forense.
IFF
wvianna@iff.edu.br
INTRODUO
CONTEDO PROGRAMTICO RESUMIDO
- Conceitos bsicos da rea de segurana; - O perfil dos invasores de sistemas; - Complexidade e conhecimento; - Estatstica de incidentes de segurana; - Consideraes;
IFF
wvianna@iff.edu.br
videos/cgi-navegar-g.wmv
IFF
wvianna@iff.edu.br
INTRODUO
Desde o surgimento da Internet, a busca por melhores estratgias de segurana tem aumentado consideravelmente, tendo em vista milhares de ataques segurana da informao, causando perdas e pnico. Esses ataques tm causado prejuzos financeiros e de imagem para empresas, instituies e pessoas fsicas. Polticas de acesso e uso, firewalls, sistemas de deteco de intrusos, projetos de rede, backups, entre outros; tem sido as armas defensivas nesta guerra da informao.
IFF wvianna@iff.edu.br 5
IFF
wvianna@iff.edu.br
Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede. Portanto, um atacante conectado Internet, ao explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel. Fonte de pesquisa - http://www.securityfocus.com/vulnerabilities
IFF
wvianna@iff.edu.br
Sistema
Solaris 7 Netscape Estao espacial nibus espacial Boing 777 Win2000 Linux Windows XP Celular (Smart)
wvianna@iff.edu.br 9
* rootkits.
wvianna@iff.edu.br
10
videos/cgi-invasores-g.wmv
IFF
wvianna@iff.edu.br
11
IFF
wvianna@iff.edu.br
13
Script Kid - o principiante que aprendeu a usar alguns programas prontos para descobrir senhas ou invadir sistemas (receitas de bolo), entrou num provedor de fundo de quintal e j acha que vai conseguir entrar nos computadores da Nasa. Tambm conhecido como Lammer; Larva - este j est quase se tornando um hacker. J consegue desenvolver suas prprias tcnicas de como invadir sistemas;
IFF
wvianna@iff.edu.br
14
Phreaker - corruptela do ingls "freak" que significa "maluco", essencialmente significa a mesma coisa que o original "hacker", no entanto um decifrador aplicado area de telefonia (mvel ou fixa). No uso atual, entende-se que um Hacker modifica computadores, e um Phreaker modifica telefones. Os Phreakers tambm se enquadram no conceito de White hat ou Black hat.
IFF wvianna@iff.edu.br 17
Black hat - (cracker ou dark-side hacker), indica um hacker criminoso ou malicioso, comparvel a um terrorista. Em geral so de perfil abusivo ou rebelde, muito bem descritos pelo termo "hacker do lado negro" (uma analogia srie de filmes Star Wars). Geralmente especializado em invases maliciosas e silenciosas, so os hackers que no possuem tica. Invade sistemas afim de dar problemas algo ou algum.
IFF wvianna@iff.edu.br 21
Cracker - do ingls "quebrador", originalmente significa algum que "quebra" sistemas. Hoje em dia, pode tanto significar algum que quebra sistemas de segurana na inteno de obter proveito pessoal (como por exemplo modificar um programa para que ele no precise mais ser pago), como tambm pode ser um termo genrico para um Black Hat.
IFF
wvianna@iff.edu.br
22
Warez - Primariamente se refere ao comrcio ilegal (pirataria) de produtos com direitos autorais. Este termo geralmente se refere a disponibilizao por meio de grupos organizados, fazendo o uso das redes peer-to-peer, do compartilhamento de arquivos (ficheiros) entre amigos ou entre grandes grupos de pessoas com interesses similares.
IFF
wvianna@iff.edu.br
23
Virii o especialista em desenvolver vrus para computador. Guru ou Coder - o supra-sumo dos hackers, usa seus conhecimentos para o bem. No persegue, pelo contrrio, sofre a perseguio.
IFF
wvianna@iff.edu.br
24
videos/cgi-spam-g.wmv
IFF
wvianna@iff.edu.br
27
IFF
wvianna@iff.edu.br
28
IFF
wvianna@iff.edu.br
29
Agosto 2009
IFF
wvianna@iff.edu.br
30
IFF
wvianna@iff.edu.br
31
IFF
wvianna@iff.edu.br
32
INTRODUO Consideraes
Segurana da informao tem que ser considerao permanente de qualquer projeto de TI; No existe segurana absoluta; A segurana sempre uma questo de economia; A segurana antagnico ao desempenho; O atacante no passa pela segurana, mas em torno dela; Organize suas defesas em camadas; uma m idia contar com a segurana por meio da obscuridade; Mantenha a coisa simples; Se no usado um programa ou protocolo, no importa se eles tm vulnerabilidades; Informaes sobre (in)segurana so abundantes; A situao tende a ficar cada vez pior !
wvianna@iff.edu.br 33
IFF
videos/cgi-defesa-g.wmv
IFF
wvianna@iff.edu.br
34
IFF
wvianna@iff.edu.br
35
IFF wvianna@iff.edu.br 37
Footprinting refere-se ao ato de coletar informaes sobre o sistema alvo. Um atacante sempre ir recolher o mximo de informaes importantes sobre todos os aspectos de segurana de uma organizao. Seguindo uma metodologia estruturada os atacantes podem juntar sistematicamente informaes de uma grande variedade de fontes e compilar esse Footprinting. Alguns recursos disponveis:
IFF
Identificam servios TCP/UDP; Arquitetura do sistema (Sparc, Alpha, x86); Faixas de IPs. Ping sweeps; Port scans; Identificao de sistemas operacionais.
wvianna@iff.edu.br 40
Tcnicas utilizadas:
IFF
Exemplos de ferramentas: Mquinas ping; nmap; Cheops; Sistema operacional nmap; Cheops;
IFF wvianna@iff.edu.br 41
Processo de extrair dos sistemas alvos contas vlidas, recursos que esto expostos, falta de pathing; mais intrusivo que o footprinting e o scanning; Tcnicas:
IFF
Coletas de nomes de usurios e grupos; Banners de sistemas; Tabelas de roteamento; Informaes SNMP;
wvianna@iff.edu.br 42
IFF
43
IFF
wvianna@iff.edu.br
Footprinting Explorao de Bugs BackDoors Arp cache poisoning Denial of Service ( DoS ) Distributed Denial of Service ( DDoS ) SYN Flooding Syn sniping Ping of death Buffer overflow Stack overflow
IFF
Smurf Attacks IP Spoofing IP sequence prediction IP fragementation Flooding Port Scanners Password Crackers Hijacking Attacks Phishing Pharming DNS Botnet
45
wvianna@iff.edu.br
O objetivo principal de ataques do tipo DoS, bastante simples: indisponibilizar servidores de rede. Os ataques DoS afetam diretamente a implementao do IP, o que os torna mais hostis, uma vez que a implementao do IP varia muito pouco de plataforma para plataforma.
IFF
wvianna@iff.edu.br
46
Agentes
IFF wvianna@iff.edu.br 47
Conexo SYN - Estabelecimento de conexo em 3 etapas do TCP: 1) SYN enviado do cliente 2) SYN/ACK enviado do servidor 3) ACK enviado do cliente Cliente Servidor
IFF
wvianna@iff.edu.br
48
O sequestro ( hijacking ) de TCP oriundo de um descuido fundamental do protocolo TCP. O TCP/IP permite que um pacote falsificado inserido em um fluxo ative a execuo de comandos em um host remoto. Existem produtos disponveis na Internet que colocam a teoria do hijacking em prtica, como o Juggernaut e o Hunt.
IFF
wvianna@iff.edu.br
49
Rede da vtima
Link T1 de 1,544 mbps
IFF
wvianna@iff.edu.br
50
INTERNET
Host Y
IFF wvianna@iff.edu.br
Host X
51
Existem vrias tcnicas empregas para realizao do scanning no dispositivo alvo. So elas:
TCP Connect() ou Dumb Scan TCP SYN Scan ou Half Scan UDP Scan Stealth Scan Null Scan FIN Scan Xmas Tree ICMP ou Ping Sweep RPC Scan FTP Proxy ou bounce Scan
wvianna@iff.edu.br 53
IFF
IFF wvianna@iff.edu.br 54
Alguns tipos de ataque (10/11) Password Crackers Password Crackers so ferramentas de simulao que empregam os mesmos algoritmos usados na criptografia de senhas. Estas ferramentas executam anlises comparativas para checar a validao das senhas.
IFF
wvianna@iff.edu.br
55
IFF
Ameaas como: Privilege escalation Virus Worm Trojan Spyware Spam Adware Rootkits Botnets Logic bomb
IFF
wvianna@iff.edu.br
57
Fsicas Physical access logs/lists Hardware locks Physical access control ID badges Door access systems Man-trap Physical tokens Video surveillance camera types and positioning
IFF
wvianna@iff.edu.br
TACACS
58
IFF
wvianna@iff.edu.br
59
Elaborao de uma arquitetura de rede segura; Elevao do nvel de segurana dos hosts;
IFF
wvianna@iff.edu.br
60
Definir regras para evitar a quebra de uma ou mais de suas trs propriedades fundamentais: confidencialidade, integridade e disponibilidade.
IFF
wvianna@iff.edu.br
61
Least Privilege; Choke Point; Defense In Depth; Weakest Link; Fail Safe; Universal Participation; Diversity of Defense; Simplicity; Type Enforcement (permisso).
wvianna@iff.edu.br 62
IFF
Bastion Host: computador responsvel pela segurana de um ou mais recursos (servios) da rede.
IFF
wvianna@iff.edu.br
63
Hardware; Software de interao (http://www.netfilter.org/); IPTables - Linux 2.4 e 2.6. IPChains - Linux 2.2 e 2.4. IPFWADM - Linux 2.0.
IFF
wvianna@iff.edu.br
64
Astaro Security Gateway, CensorNet, ClarkConnect, Coyote Linux, Devil-Linux, Endian Firewall, Euronode, Gibraltar Firewall, IPCop Firewall, Linux LiveCD Router, m0n0wall, O-Net, pfSense, Phayoune Secure Linux, redWall Firewall, Securepoint Firewall & VPN Server, SmoothWall Express, Untangle Gateway e Vyatta
IFF wvianna@iff.edu.br 65
IFF
wvianna@iff.edu.br
66
IFF
wvianna@iff.edu.br
67
IFF
wvianna@iff.edu.br
68
IFF
wvianna@iff.edu.br
69
IFF
Particionamento adequado dos discos rgidos dos servidores; Desativao de servios desnecessrios; Definio de senhas seguras; Atualizao peridica dos servidores; Equipamentos e procedimentos Backup; Leitura peridica de logs; Configurao de filtragem de pacotes nos servidores; Definio da administrao remota segura; Controle de acesso a proxies WEB; Controle de acesso a sites indesejados; Remoo de shell desnecessrios; Segurana fsica dos servidores; Servidor de e-mail com antivrus, antispam, relay fechado.
wvianna@iff.edu.br
70
IDS Sistemas de Deteco de Intruso Monitorao do sistema de arquivos: Tripwire; Aide. HoneyPot (pote de mel) DTK; PortSentry; NIDS Sistema de Rede para Deteco de Intruso
Snort.
IFF wvianna@iff.edu.br 71
IFF
wvianna@iff.edu.br
72
Leitura de Logs: /var/log/messages /var/log/secure /var/log/maillog /var/log/xferlog last lastlog Outras formas de monitorao de logs: Logcheck LogWatch Colorlogs
wvianna@iff.edu.br 73
IFF
Logs de comandos do Shell; .bash_history Deteco de sniffers; AntiSniff Deteco de rootkits; Aide; Chrootkit; Tripware; Rkhunter; Kem_check; Lsat; Sam Hain; Lynis; Prelude.
IFF
wvianna@iff.edu.br
74
Verificar o que esta sendo executado: ps aux netstat vat lsof fuser av porta/protocolo who w
IFF
wvianna@iff.edu.br
75
1 - Sistemas operacionais Comandos bsicos GNU/Linux; Instalao e compilao de programas GNU/Linux; 2 Protocolos Noes: IP, TCP, UDP, ICMP; Noes de protocolos e servios.
IFF
wvianna@iff.edu.br
78
WWAN 3G, IEEE 802.20, EV-DO/EV-DV; WMAN WiMAX, baseado no padro IEEE 802.16.
WLAN Baseado em IEEE 802.11, produtos certificados como Wi-Fi (Foco do curso);
IFF
IFF
wvianna@iff.edu.br
81
IFF
wvianna@iff.edu.br
82
IFF
wvianna@iff.edu.br
83
IFF
wvianna@iff.edu.br
84
IFF
wvianna@iff.edu.br
86
IFF
wvianna@iff.edu.br
87
AP
Access Point Elemento-chave de uma WLAN Ponto de acesso rede cabeada Principais modos Root (padro) Repeater Bridge
IFF
wvianna@iff.edu.br
88
AP
Opes tpicas:
Potncia ajustvel; Firewall bsico; Antenas destacveis; Filtro por MAC; Servidor DHCP para WLAN e LAN (portas RJ-45); Atualizao de Firmware.
IFF
wvianna@iff.edu.br
89
Windows
Plataforma nativa de praticamente todas as interfaces Wireless Zero Configuration Service (WZCSVC) Sem suporte a RFMON - captura de quadros 802.11 de gerenciamento Esquemas mais comuns Autenticao: WEP (inseguro), WPA, WPA-PSK, WPA2, WPA2-PSK Criptografia: TKIP (WPA), AES (WPA2) EAP Types: PEAP (PEAPv0/EAP-MSCHAPv2), EAP-TLS
IFF
wvianna@iff.edu.br
90
IFF
wvianna@iff.edu.br
91
Linux
Outra histria Drivers ainda constituem um problema Chipsets melhor suportados por drivers e ferramentas: Prism, Orinoco, Atheros, Ralink e TI (nesta ordem) Demais chipsets: Suporte muitas vezes parcial Sem o modo RFMON
IFF
wvianna@iff.edu.br
92
Linux
Drivers Hostap chipset Prism wlan-ng MADWIFI chipset Atheros Wavelan chipset Orinoco Ndiswrapper instalao de driver Windows (.INF) sob Linux Utilitrios Wireless Tools (WT) iwconfig, iwlist, iwspy, iwpriv, ifrename
IFF
wvianna@iff.edu.br
93
Linux iwconfig - canal, SSID, modo, chave, taxa de transmisso modo master: primeiro passo para transformar uma estao em um AP Windows WZCSVC - associao ao AP simplificada
IFF
wvianna@iff.edu.br
94
Estima-se que, em 2006, 70% dos ataques bemsucedidos contra Access Points e clientes de WLANs ocorram devido m configurao (Gartner, 2004). Os ataque so favorecidos devido a concepes erradas sobre segurana em redes sem fio. O fato de no entender as vulnerabilidades ou de assumir que a rede est segura por si s constitui um risco.
IFF
wvianna@iff.edu.br
95
Concepes erradas
Uso filtro por endereos MAC WEP melhor que nada Uso WPA-PSK, estou seguro Ningum encontrar minha rede wireless
IFF
wvianna@iff.edu.br
96
Ataques DoS exigem equipamentos caros, de acesso difcil Estamos seguros porque usamos autenticao/criptografia Segregamos nossa WLAN No temos redes sem fio em nossa empresa Temos firewall Ningum nos invadiria
IFF
wvianna@iff.edu.br
97
Segurana fsica
No h segurana fsica. Conter a abrangncia de uma rede sem fio muito difcil. Lugares de ataque mais comuns: prdios vizinhos, apartamentos vizinhos, lobbies. Vazamento de sinal Qualidade para capturar sinal longa distncia Qualidade para associao curta distncia
IFF
wvianna@iff.edu.br
98
Wardriving termo cunhado por Peter M Shipley em 1999. Busca por redes sem segurana.
IFF
wvianna@iff.edu.br
99
Termo em ingls para conexo em redes sem fio alheias. Prtica comum: vizinhos, viajantes. Eu no acho que isto seja roubar Consenso: se o dono do AP habilitou segurana (mesmo WEP), ento no quer conexes de estranhos. Outros problemas:
Uso para golpes na Internet, para pedofilia assinante do servio o culpado aparente Cotas de download prejuzo financeiro para o vizinho
wvianna@iff.edu.br 100
IFF
Divulgao de informaes
WLAN = LAN com hub Com criptografia ou no, o trfego pode ser capturado No necessrio se associar ao AP para capturar Depende da combinao entre distncia e ganho da antena
IFF
wvianna@iff.edu.br
101
Negao de servio
Denial of Service (DoS) Trs categorias Ataques ao meio RF Jamming Fraquezas de 802.11 ataques deauth Vulnerabilidades no firmware dos clientes Segurana = Confidencialidade, Integridade e Disponibilidade.
IFF
wvianna@iff.edu.br
102
Usurios bem intencionados ligam APs mal configurados rede cabeada Mudana inadvertida no permetro da rede Firewall corporativo defende do lado errado Solues Polticas Monitoramento Auditoria
IFF
wvianna@iff.edu.br
103
Outros ataques
Redes domsticas e Hotspots Explorao de vulnerabilidades do sistema operacional Worms que se propagam pelas camadas PHY e MAC Filtros de camada 3 e 4 sem utilidade Possibilidade futura Worm Cabir celulares Bluetooth
IFF
wvianna@iff.edu.br
104
Foram detectados 280 equipamentos AP/Router Wardriving realizado entre 10:00 e 10:34 do dia 31/10/2008
IFF
wvianna@iff.edu.br
106
IFF
wvianna@iff.edu.br
107
IFF
wvianna@iff.edu.br
108
IFF
wvianna@iff.edu.br
109
Antes Poltica em mos, dados j coletados; Conhecer os equipamentos tpicos, marcas de produtos; Autorizao. Buscar desvios Clusulas da poltica de segurana no obedecidas; Correlacionar dados coletados com a poltica de segurana.
IFF
wvianna@iff.edu.br
110
Nem sempre redes e dispositivos sem fio esto includos na poltica de segurana adotada Outros objetivos de uma auditoria:
Identificar APs e clientes; Verificar as configurao; Mapear abrangncia da rede; Avaliar o grau de divulgao de informaes da organizao.
IFF
wvianna@iff.edu.br
111
Metodologias Fingerprinting do AP
Passivo No h necessidade de estar conectado rede Identificar o fabricante OUI (Organization Unique Identifier) da interface de rede Alocado pelo IEEE til apenas em trfego unicast e broadcast Identificar informaes proprietrias divulgadas nos quadros beacon Ativo Necessidade de conexo Conectar-se ao AP remotamente (SSH, servidor WEB)
IFF
wvianna@iff.edu.br
112
Processar informaes coletadas Gerar planilhas com arquivos XML e CSV gerados pelo Kismet; Identificar redes com segurana fraca; Informaes teis; SSIDs usados, marcas de interfaces, potncia do sinal e nvel de rudo, dentre outros indicadores.
IFF
wvianna@iff.edu.br
113
Automaticamente Ferramentas como Kismet Manualmente Captura e filtro de quadros no interessantes beacon, probe request, probe response Anlise com analisadores de trfego como Ethereal ou Wireshark
IFF
wvianna@iff.edu.br
114
Principais
Tcpdump airodump Ethereal Wireshark NetStumbler (Windows) Kismet Linux apenas, verso Windows em desenvolvimento
IFF
wvianna@iff.edu.br
115
Poderoso analisador de trfego Revela mais informaes que Tcpdump Estrutura em rvore, resoluo de hostname / porta / MAC, possibilidade de visualizao de fluxos, etc. Dependente de Libpcap / Winpcap Captura trfego, abre arquivos de captura PCAP Interoperabilidade com Tcpdump, airodump, Kismet e outras Filtros de captura no mesmo formato usado por Tcpdump, filtros de exibio
IFF
wvianna@iff.edu.br
116
Diversas funes Wardriving, site survey, IDS distribudo, auditoria, deteco de APs rogue, deteco de IVs duplicados em redes com WEP Interao com GPS para mapeamento Driver prprio, mais de 20 tipos de NIC suportados Suporte ainda limitado aos principais chipsets Restrito a Unix, diversas dependncias GPSD, ImageMagick, Expat, GMP possvel a captura em todos os canais simultaneamente
wvianna@iff.edu.br 117
IFF
Ferramenta mais popular, restrita ao Windows Vrias funes Configurao da sua rede, deteco de interferncia, APs no-autorizados (rogue), wardriving (suporte a GPS) Auditoria ativa, detectvel por probes Limitado, se comparado ao Kismet RFMON ausente sob Windows Bom suporte a NICs em Windows Barulhento
wvianna@iff.edu.br 118
IFF
Secure Easy Setup (SES) SSID Wireless SSID Broadcast Wireless MAC Filter AP isolation
IFF
wvianna@iff.edu.br
119
Firewall, filtros de aplicao, DMZ Administrao Alterao de senha; Habilitar HTTPS; Desabilitar acesso administrativo a partir da rede sem fio; Desabilitar gerenciamento a partir da interface externa;
IFF
wvianna@iff.edu.br
120
Segurana suficiente para usurio domstico J existem ataques conhecidos contra WPA No necessrio servidor de autenticao Possvel mesmo sem Openwrt Chave compartilhada mesma chave para todos os usurios, segredo mantido por pouco tempo Trocar PSK nos clientes trabalhoso
wvianna@iff.edu.br 121
Desvantagens
IFF
IEEE 802.1x Port Based Network Access Control Servidor de autenticao externo
FreeRADIUS implementao de RADIUS (RFC 2865) EAP Extensible Authentication Protocol (RFC 3748) Necessidade de ICP (Infra-estrutura de Chaves Pblicas) Necessidade de certificados tanto no servidor RADIUS quanto nos clientes autenticao mtua
wvianna@iff.edu.br
IFF
122
CONTEDO PROGRAMTICO
- Princpios de anlise forense: conceito e motivao; - Procedimentos de anlise forense; - Cadeia de custdia de evidncias; - Ambiente e ferramentas de anlise forense; - Ambiente de anlise forense: o hardware, o sistema operacional e o software bsico; - Pacotes forenses: ferramentas dos nveis de sistemas de arquivo e de nomes de arquivos, de metadados e de blocos de dados; - Coleta de evidncias: arquivos de logs, de inicializao do sistema e de histrico de comandos; - Recuperao e anlise de evidncias; - Sistema de arquivos Linux; - Ferramentas de recuperao de evidncias: como reaver arquivos apagados e parcialmente sobrescritos; - Evidncias avanadas: anlise de executveis e evidncias avanadas; - Cronologia dos acontecimentos e reconstruo do ataque; - Anlise forense em sistemas Windows; - O sistema de arquivos do Windows; - Descrio do pacote de ferramentas e primeiras aes; - Informaes sobre o sistema: identificao de aes, de usurios e do nome do sistema (hostname); - Identificao de processos em execuo no sistema; - Identificao de portas disponveis; - Identificao de bibliotecas em uso; - Registro do Windows; - Informaes adicionais do Windows; IFF wvianna@iff.edu.br 123 - Mtodos de ocultao de dados e informaes.
1 - Sistemas operacionais Comandos bsicos GNU/Linux. Sistemas de arquivos. 2 Curso de segurana de redes.
IFF
wvianna@iff.edu.br
124
IFF
Minimizar perda de dados; Evitar contaminao dos dados; Registrar e documentar tudo que for feito; Analisar, impreterivelmente, dados em cpias; Reportar as informaes coletadas; E principalmente, manter-se imparcial!
IFF
wvianna@iff.edu.br
127
IFF
wvianna@iff.edu.br
128
IFF
wvianna@iff.edu.br
129
IFF
wvianna@iff.edu.br
130
IFF
wvianna@iff.edu.br
131
IFF
wvianna@iff.edu.br
133
IFF
Pr-requisitos Hardware Sistema Operacional Software Bsico Pacote de Ferramentas Forenses CD de Ferramentas
wvianna@iff.edu.br 138
A primeira ao do investigador coletar evidncias no local onde ocorreu a invaso. Aps isso, entra em cena a anlise de mdias. O investigador precisar analisar dezenas de gigabytes de dados, por isso deve contar com um ambiente propcio, com ferramentas que facilitem seu trabalho.
IFF wvianna@iff.edu.br 139
Pr-requisitos
Pr-requisitos
O objetivo da anlise de mdias coletar evidncias que comprovem ou refutem a invaso. As evidncias originais devem ser preservadas, por isso a anlise deve ser feita em cpias das mdias. O analista deve evitar comprometer as evidncias, e deve garantir que todos os resultados podem ser reproduzidos. Isto envolve a criao e manipulao de dezenas de gigabytes de dados. Alm disso, o sistema invadido no confivel, portanto o investigador precisa dispor de um ambiente confivel e controlado para realizar a investigao.
IFF wvianna@iff.edu.br 140
Hardware
Quanto mais memria RAM e mais processamento tiver, melhor! O espao livre em disco deve ser generoso. O sistema deve ter baias para conectar os discos de evidncias. De preferncia, as baias devem ser configuradas para jamais iniciar o sistema a partir dos discos contidos nelas. Um notebook imprescindvel para quando no for possvel remover o disco de evidncia. Este notebook deve conter as mesmas ferramentas da estao forense. O investigador deve dispor de equipamentos de rede diversos: hubs, cabos cross-over e normais, placas de rede normais e wireless, disco rgido externo (USB e paralelo), bem como um equipamento para realizar cpias de disco automaticamente. 141 IFF wvianna@iff.edu.br
Sistema Operacional
Entre os pontos que devem ser levados em considerao na hora de escolher o sistema operacional esto: Familiaridade do investigador com o S.O.; Disponibilidade de ferramentas; Capacidade do S.O. de reconhecer diversos tipos de mdias ou sistemas de arquivos diferentes; Mecanismos de segurana disponveis no S.O.;
Sistema Operacional
GNU/LINUX - Caractersitcas: No necessrio adquirir licenas para uso; Existe uma gama completa de ferramentas de anlise forense de uso livre; Capacidade de acessar qualquer tipo de sistema de arquivos ou parties a partir de configurao no kernel; Capacidade de acessar diversos tipos de dispositivos diferentes (USB, Discos, etc); Firewall embutido no kernel, e possibilidade de utilizar diversas modificaes no kernel para aumentar a segurana da mquina.
IFF
wvianna@iff.edu.br
143
Sistema Operacional
GNU/LINUX Limitaes: Se for necessrio analisar algum executvel para Windows, precisaremos de uma maneira de emular o Windows. A melhor opo utilizar o VMWare ou outro sistema de emulao, tal como o Wine. Apesar da escolha pelo Linux, existem timas ferramentas de anlise forense para Windows, tal como o software EnCase produzida pela Guidance Software e representada no Brasil pela TechBiZ Forense Digital.
IFF
wvianna@iff.edu.br
144
Software Bsico
Nem sempre ser necessrio a utilizao de ferramentas complicadas para realizar uma anlise. O Linux dispe de timas ferramentas para auxiliar o trabalho de investigao. Estas ferramentas bsicas so importantes para a investigao, e o analista deve conhec-las muito bem. Existem verses destas ferramentas para Windows tambm, mas precisam ser instaladas parte. No Linux, elas j acompanham o sistema.
Com o comando acima criamos um arquivo com todas as mensagens contidas no dispositivo /dev/hda1. Podemos utilizar este arquivo para detectar rapidamente se existe algum contedo comprometido no dispositivo. Por exemplo, podemos utilizar este arquivo para procurar por palavras suspeitas constantes em uma base de dados.
IFF wvianna@iff.edu.br 146
No primeiro exemplo acima, utilizamos um arquivo com palavras suspeitas como padro de busca. O comando ir mostrar quais palavras constantes no arquivo /data/palavras_hacker.txt que tambm aparecem na imagem de disco /data/hda1.img. No segundo exemplo, o comando ir imprimir o offset em bytes de onde a palavra hacked foi encontrada no arquivo /data/hda1.img.
IFF wvianna@iff.edu.br 147
Procura por arquivos a partir de algumas restries de busca. Pode encontrar arquivos suspeitos no diretrio /dev, arquivos escondidos ou com caracteres estranhos no nome, ou arquivos com permisses especficas.Estes arquivos podem ser suspeitos, pois um arquivo com o bit setuid (stick bit) ligado pode indicar a presena de um root shell.
IFF wvianna@iff.edu.br 149
IFF
wvianna@iff.edu.br
155
Pacote de Ferramentas Forense Sleuth Kit Algumas caractersitcas: Maior flexibilidade das ferramentas; Trabalha com dispositivos de disco ou imagens binrias; Reconhece diversos sistemas de arquivos; Sem custo de utilizao.
IFF wvianna@iff.edu.br 157
IFF
wvianna@iff.edu.br
158
IFF
wvianna@iff.edu.br
163
IFF
wvianna@iff.edu.br
165
CD de Ferramentas
Durante uma investigao, importante que o investigador tenha em mos todas as ferramentas necessrias para o seu trabalho. Deve-se criar um CD com ferramentas teis ao trabalho do investigador. A primeira coisa que deve existir em um CD de ferramentas forenses um interpretador de comandos confivel. Compilar estaticamente todas as ferramentas do CD, para evitar ser comprometido por binrios ou bibliotecas suspeitas.
IFF wvianna@iff.edu.br 168
CD de Ferramentas
Alm de um interpretador de comandos, o CD deve conter as seguintes ferramentas:
Todas as ferramentas bsicas vistas anteriormente. Todas as ferramentas do pacote forense escolhido. Ferramentas bsicas do sistema: ls, cp, mv, rm, chroot, cat, less, more, chmod, chown, chgrp, date, df, du, cut, sort, strip, tail, head, ln, arp, echo, env, hostname, id, ifconfig, pwd, touch, uniq, uptime, wc, who. Ferramentas de manipulao de objetos e compilao: cc, ld, nm, ldd, addr2line, ar, as, gprof, objcopy, objdump, ranlib.
IFF wvianna@iff.edu.br 169
Anlise
IFF
wvianna@iff.edu.br
170