Post on 18-Nov-2014
description
C o m p u t a ç ã o F o r e n s e 0 8 0 0 (o u q u a s e !)C o m p u t a ç ã o F o r e n s e 0 8 0 0 (o u q u a s e !)To n y R o d r ig u e sTo n y R o d r ig u e s
in v .f o r e n s e a r r o b a g m a i l p o n t o c o min v .f o r e n s e a r r o b a g m a i l p o n t o c o m
Computação Forense 0800 (ou quase !)
Q u e m s o u ?Q u e m s o u ?
• Tony Rodrigues, C IS S P , C F C P , S e c u r i t y +C IS S P , C F C P , S e c u r i t y +
• Gerente de Segurança de Informações em uma Seguradora no Rio de Janeiro
• Perito/Investigador em Computação Forense
• Blog: http://forcomp.blogspot.com
Computação Forense 0800 (ou quase !)
A g e n d a
• Introdução• Laboratório do Perito em Computação
Forense• Benefícios do Software Livre• Soluções• Live CDs• Utilitários• Comparativo• Faça o seu !
Computação Forense 0800 (ou quase !)
Laboratório do Perito - $$$$ !
• Entre outras coisas:– Laptop
– Servidor
– Muita capacidade de storage
– Write Blockers
– Software
Custo alto !!!
Aqui podemos fazer algo: Software Livre
Computação Forense 0800 (ou quase !)
B e n e f í c io s d o S o f tw a r e L iv r e n a C o m p u t a ç ã o F o r e n s e
• São realmente soluções de baixo orçamento;• Código fonte disponível para avaliação e
customização;• Muitas ferramentas disponíveis para
aquisição de análise de imagens forenses;• Muitos usuários em todo o mundo disponíveis
para ajudar;• Comparação/Double Check dos resultados;• Não é afetado pelo problema qualidade x
funcionalidades;• Melhores resultados em avaliação de custo x
benefício;
Computação Forense 0800 (ou quase !)
S o lu ç õ e s d e S o f tw a r e L iv r e p a r a C o m p u ta ç ã o F o r e n s e
• Utilitários Windows e Linux• Live CDs• Pacotes• Live DVDs• Appliances de máquinas virtuais
Computação Forense 0800 (ou quase !)
Helix3 Live C D
• Era conhecido como o melhor live cd para Computação Forense
– Versão 2009R1 só está disponível para Membros do Helix Forum ($$$)
– Esta é a razão do “(ou quase)” no título da palestra
• Resposta a Incidentes em Windows• Baseada no Ubuntu e no GNome
Desktop• Muitas ferramentas disponíveis• Talvez seja o mais usado live cd de
Computação Forense
Computação Forense 0800 (ou quase !)
Helix3 Live C D
Computação Forense 0800 (ou quase !)
Helix3 Live C D – R es pos ta a Inc identes
Computação Forense 0800 (ou quase !)
Helix3 Live C D – R es pos ta a Inc identes
Computação Forense 0800 (ou quase !)
Helix3 Live C D – P rós e C ontras
• Prós– Resposta a Incidentes baseada em
Windows
– Quantidade e qualidade das ferramentas
– Documentação
– Kernel customizado• Contras
– Faltam algumas ferramentas mais novas (PTK, p.ex.)
– Poucos lançamentos por ano
– 2008R1 é a última versão não-comercial
Computação Forense 0800 (ou quase !)
FC C U Live C D
• Live CD da Federal Computer Crime Unit (Polícia Federal Belga) Versão 12.1
• Baseada no Debian e no XFCE Desktop• É o campeão das ferramentas (quantidade e
variedade) • Ferramentas Windows para aquisição de
memória RAM• Ferramentas exclusivas
– fuzzy hash
– browser history viewer múltiplo
– Análise de memória• O melhor candidato para assumir o lugar do
Helix
Computação Forense 0800 (ou quase !)
FC C U Live C D
Computação Forense 0800 (ou quase !)
FC C U Live C D
Computação Forense 0800 (ou quase !)
FC C U Live C D – P rós e C ontras
• Prós– A existência de ferramentas Windows para aquisição da
RAM indica a estratégia de disponibilizar ferramentas Windows para Resposta a Incidentes
– Quantidade, qualidade e variedade das ferramentas
– Documentação
– Atualizações freqüentes
– Ligado nas tendências do mercado• Contras
– Ausência do Firefox
– Teclado Belga como default
– Precisa melhorar o menu
Computação Forense 0800 (ou quase !)
FDTK Live C D
• Forense Digital ToolKit - Live CD Brasileiro - Versão 2.01
• Baseado no Ubuntu e Gnome Desktop• Muitas ferramentas disponíveis,
semelhante ao FCCU• Menu detalhado• Ferramentas exclusivas
– Dc3dd GUI• Usado em aulas de Computação Forense
da Unisinos
Computação Forense 0800 (ou quase !)
FDTK Live C D
Computação Forense 0800 (ou quase !)
FDTK Live C D
Computação Forense 0800 (ou quase !)
FDTK Live C D – Prós e C ontras
• Prós– Atualizado freqüentemente
– Praticamente tem todas as ferramentas acessíveis pelo menu
– Excelente opção para países de língua Portuguesa
• Contras– Faltam ferramentas de Network Forensics
– Teclado brasileiro (ABNT2) como default
– Documentação precisa melhorar
Computação Forense 0800 (ou quase !)
C A IN E Live C D
• Live CD Computer Aided Investigative Environment - Versão 0.4
• Baseado no Ubuntu e no Gnome Desktop• Projeto da Universidade de Modena (Itália)• Baseado na interface Caine• Ferramentas exclusivas
– SFDumper (dump de arquivos pelo tipo)
– Fundl (Undelete de arquivos)• Gera relatórios automaticamente
Computação Forense 0800 (ou quase !)
C A IN E Live C D
Computação Forense 0800 (ou quase !)
C A IN E Live C D
Computação Forense 0800 (ou quase !)
C A IN E Live C D – C a ine Interfac e
Computação Forense 0800 (ou quase !)
C A IN E Live C D – P rós e C ontras
• Prós– Atualizado freqüentemente
– A interface CAINE auxilia nos passos da investigação
– Documentação e relatórios semi-automatizados
– Excelente ferramenta para iniciantes • Contras
– Poucas ferramentas disponíveis
– Teclado Italiano como default
– Documentação precisa de melhorias
Computação Forense 0800 (ou quase !)
Pla inS ig ht Live C D
• Live CD PlainSight Versão 0.1– Ferramenta produzida para uma tese de
Mestrado• Baseado no Knoppix e no KDE Desktop• A base é a interface PlainSight• Ferramentas exclusivas
– Spider
– RegRipper• Ferramentas de Análise de Memória
Computação Forense 0800 (ou quase !)
Pla inS ig ht Live C D
Computação Forense 0800 (ou quase !)
Pla inS ig ht Live C D – P la inS ig ht Interfac e
Computação Forense 0800 (ou quase !)
Pla inS ig ht Live C D – P la inS ig ht Interfac e
Computação Forense 0800 (ou quase !)
Pla inS ig ht Live C D – Prós e C ontras
• Prós– Possui importantes ferramentas de análise
(Memória/Registry)
– A interface PlainSight auxilia os passos da investigação
– A interface PlainSight beneficia a criação de relatórios
• Contras– Não possui ferramentas necessárias para
uma investigação completa
– Não aparenta continuidade
– Precisa melhorar a documentação
Computação Forense 0800 (ou quase !)
DE FT Live C D
• Live CD Italiano Digital Evidence and Forensic Toolkit - Versão 4.1
• Baseado no Xubuntu e no xfce4 desktop• Ferramentas exclusivas
– Dhash (hash)
– XPlico (decodificador de tráfico de internet)
– Catfish (buscador de arquivos)• Não é para novatos• Outro forte candidato a ser o melhor live
cd de Computação Forense
Computação Forense 0800 (ou quase !)
DE FT Live C D
Computação Forense 0800 (ou quase !)
DE FT Live C D – X plic o tool
Computação Forense 0800 (ou quase !)
DE FT Live C D – X plic o tool
Computação Forense 0800 (ou quase !)
DE FT Live C D – X plic o tool
Computação Forense 0800 (ou quase !)
DE FT Live C D – X plic o tool
Computação Forense 0800 (ou quase !)
DE FT Live C D – P rós e C ontras
• Prós– Atualizado freqüentemente
– Possui um roadmap publicado do que será implementado nas novas versões
– Boot rápido
– Disponível para USB em breve
– Só pelo Xplico já vale • Contras
– Não tem programa GUI para configuração de rede
– Faltam algumas ferramentas importantes para análise (memória, browser, registry, etc)
Computação Forense 0800 (ou quase !)
ForLex Live C D
• Live CD Italiano Informatica Forense Versão 1.5.0
• Baseado no Knoppix• Ferramentas exclusivas
– All in 1 (interface para o TSK)
Computação Forense 0800 (ou quase !)
ForLex Live C D
Computação Forense 0800 (ou quase !)
ForLex Live C D – A ll in 1
Computação Forense 0800 (ou quase !)
ForLex Live C D – Prós e C ontras
• Prós– All in 1
– Boot rápido• Contras
– Website somente em italiano
– Faltam algumas ferramentas importantes para análise (memória, browser, registry, etc)
– A versão 1.5.0 foi distribuída com alguns utilitários desatualizados
– Teclado Italiano como default
Computação Forense 0800 (ou quase !)
U tilitá rios – Aquis iç ão de Imag ens Forens es - G U I
GuyMager GuyMager GuyMagerGuyMager
dc3dd GUI
Air AirAir Air
Adepto
LinenLinen
ForLex 1.5.0
Helix 2.0
FCCU 12.1
FDTK 2.01DEFT4.1Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Aquis iç ão de Imag ens Forens es - C LI
dds2tar dds2tardds2tar dds2tar
cstream
dc3dddc3dddc3dddc3dd
rddirddi
ddrescueddrescue ddrescue ddrescue
dd_rhelpdd_rhelp
dd_rescuedd_rescu
edd_rescuedd_rescuedd_rescue dd_rescue
rddrdd
dcfldddcfldddcfldddcfldddcfldddcfldd
dddddddddddddd
sdd sddsdd
ForLex 1.5.0Helix 2.0
FCCU 12.1
FDTK 2.01DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Aná lis es
allin1.pyallin1.py
AutopsyAutopsyAutopsyAutopsyAutopsyAutopsy
SleuthKitSleuthK
itSleuthKitSleuthkitSleuthkitSleuthkitSleuthkit
ForLex 1.5.0
Helix 2.0FCCU 12.1
FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – C riaç ão de Linha do Tempo
mac_gra
b.pl
mactimemactimemactimemactimemactimemactime
mac-robber
ForLex 1.5.0Helix 2.0
FCCU 12.1FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Deleç ão s eg ura
wipe wipewipewipe wipe
shread shread
ForLex 1.5.0
Helix 2.0
FCCU 12.1
FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – C arving
magicrescue magicrescuemagicrescue
grepj-fat
foregone.pl
revit
photorecphotorecphotorecphotorec
ScalpelScalpelScalpelScalpelScalpelScalpel
foremostforemostforemostforemostforemostforemostforemost
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – R ec uperaç ão de S is tema de A rquivos
disktypedisktypedisktypedisktype disktypedisktype
jfsutilsjfsutilsjfsutils
sshfs
setmaxsetmax
ntfsundeletentfsundel
ete ntfsundeletentfsundelete
safecopy
recoverdm
myrescue
e2retrieve
recover recoverrecover
e2undele2undel
Scrounge-NTFS Scrounge-NTFSScrounge-NTFS
NTFS ToolsNTFS Tools
testdisktestdisktestdisktestdisk
fatbackfatback
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine
0.4PlainSight
0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Has h
ssdeepssdeep
Gtkhash
Dhash
sha1sumsha1dee
psha1deepsha1deep/sha1su
msha1sumsha1sumsha1sum
md5summd5deepmd5deepmd5sum/md5deepmd5summd5summd5sum
ForLex 1.5.0Helix 2.0
FCCU 12.1FDTK 2.01DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Aná lis e de a tividade de Internet
bhv
dumpAutocomplete.py
cookie_cruncher.plcookie_cruncher.pl
mork.p
lmork.plmork.pl mork.pl
GalletaGalletaGalleta
PascoPascoPascoPasco Pasco
ForLex 1.5.0
Helix 2.0FCCU 12.1FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Aná lis e de Arquivos Window s
clit
ppsei
evtviewer
yim2text
pdftkpdftk
fccu.evtreaderfccu.evtreader
fccu-docpropfccu-docprop
opentnef
tnef tneftnef
catdoc
mdbtoolsmdbtools
Wvtools
antiwordantiword
dumpster_dive.pldumpster_dive.pl
GrokEvtGrokEvt
RifiutiRifiuti
ForLex 1.5.0
Helix 2.0FCCU 12.1FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Antivírus
missidentify
Clamav
(clamscan)ClamavClamavClamav
F-Prot
rkhunterrkhunter
chkrootkitchkrootkitchkrootkitchkrootkitchkrootkit chkrootkit
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine 0.4PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – N etw ork Forens ic s
msn-capture
Chatsniff
Scapy
Nast
Karpski
Driftnet
Ethercap
Snifit
Hunt hunt
dsniffdsniffDsniff dsniff
Netdude
Tcpflow
Tcptrack
Tcpick
Netwox
Ngrep
tcpxtractTcpxtract
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine 0.4PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – N etw ork Forens ic s (2)
Prismstumbler
tcpreplay
wiresharkWireshark wireshark
Xplico
Darkstat
Weplab
nmap Nmap
Knocker
arpingArping
P0f
Nbtscan
Imsniff
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine 0.4PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – E numeraç ão de Hardw are
blktoolblktool
cpuid
lsscsi lsscsi
lsusblsusblsusb
lspcilspcilspci
x86info
scsiadd scsiadd
scsitools scsitools
discoverdiscover discover
lshwlshwlshwlshwlshw
ForLex 1.5.0
Helix 2.0
FCCU 12.1
FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – B us ca de pa lavras -c have
sgrep
fccu-search-files
fccu-infile-search
Spider
glarkglark
ForLex 1.5.0
Helix 2.0
FCCU 12.1FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – E s teg anog ra fia
stegdetectstegdetectstegdetect stegdetect
OutguessOutguessOutguessOutguess Outguess
ForLex 1.5.0Helix 2.0
FCCU 12.1
FDTK 2.01DEFT4.1Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Aná lis e de R eg is try
ReglookupReglookupReglookup
userassist.pl
regpregp
regtool regtool
regripper RegRipper
regviewer
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine 0.4PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Quebra de S enhas
hydra
pdfcrack
bioskbsnarf
qcrack
medussamedussa
fcrackzipfcrackzip
ophcrackophcrackophcrackophcrackophcrack
nasty
pgpcrack
bkhivebkhivebkhivebkhivebkhivebkhive
samdump2samdump
crack
lcrack
john the ripperjohn the ripperjohn the ripper
pwl
cmospwd
ChntpwChntpwChntpw
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine 0.4PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Aná lis e de E mails
eindeutigeindeutig
ripole
readpstreadpstreadpstreadpst
grepmail
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Aná lis e de Fotos e Imag ens
exifprobeexifprobe
extract
RecoverPhotos
jpeginfojpeginfo
dcrawdcrawdcrawdcraw dcrawdcraw
jheadjhead
metacam
exifexif
exifgrepexifgrep
exiftagsexiftags
FBI FBI
recoverjpegrecoverjpeg
VinettoVinetto Vinetto
Retriever
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – C riptog ra fia
ccryptccrypt
bcryptbcrypt
cryptcatcryptcatcryptcatcryptcat cryptcatcryptcat
ForLex 1.5.0Helix 2.0FCCU 12.1
FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – C ompac tadores
nomarch
star starstar star
mscompress/msexpan
dmscompress/msexpan
dmscompress/msexpan
dmscompress/msexpan
d
unace unaceunace
unrar unrarunrar unrar
unshieldunshield
spantape
orangeorange
p7zipp7zipp7zip
cabextract cabextractcabextract
arjarj
zoozoo
gzrecovergzrecover
lzop lzoplzop lzop
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine
0.4PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Formatos de Imag em Forens e
afflibafflibafflibafflibafflib
libewflibewflibewf libewf
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Aná lis e de M emória
MetlStorm firewire.py MetlStorm firewire.py
aeskeyfinder/rsakeyfinder
VolatilityVolatility Volatility
ptfinder (ptfinder_w2k.pl, ptfinder_xp.pl,
ptfinder_xpsp2.pl, ptfinder_w2003.pl
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – Honeypots e Aná lis e de M a lw are
mwcollect
nephentesnephentes
Amun
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01
DEFT4.1
Caine 0.4
PlainSight 0.1
Computação Forense 0800 (ou quase !)
U tilitá rios – B us ca de V ulnerabilidades
Nessus Nessus
nikto
ForLex 1.5.0Helix 2.0FCCU 12.1FDTK 2.01DEFT4.1Caine
0.4PlainSight
0.1
Computação Forense 0800 (ou quase !)
A lternativas
• PTK– Interface alternativa para o TSK
– Indexação de palavras-chave
– Análise de Memória• PyFLAG
– Correlação de múltiplas fontes forenses
– Indexação de palavras-chave
– Análise de Memória
– Network Forensics
– Versão Windows disponibilizada recentemente
Computação Forense 0800 (ou quase !)
A lternativas
• Multi Live DVDs– Um Live DVD, muitos ISOs dentro
• MultiISO Live DVD (BackTrack, OphCrack ...)• SUMO Linux (Helix, BackTrack ...)
– Nenhum completamente dedicado à Computação Forense (O que você está esperando ??)
• SANS SIFT– Máquina Virtual VMWare
– PTK
– Análise de Memória (Volatility)
Computação Forense 0800 (ou quase !)
Faça você mesmo !
• Escolha a base Linux (Ubuntu preferencialmente)• Retire o automount dos drives• Cuidado com swap e Journaling File Systems• Escolha pelo menos 2 utilitários para cada tarefa• Dê suporte ao máximo de Formatos de Imagens Forenses• Dê suporte ao máximo de hardwares conhecidos• Dê suporte ao máximo de Sistemas de Arquivos• Crie um esquema parecido com o do SIFT de permitir acesso às ferramentas
do Windows • Ferramentas praticamente obrigatórias:
– TSK– PTK– Xplico– Linen and GuyMager– Ddrescue– Foremost– Wireshark– Regripper– Volatility– John the ripper and OphCrack– Extract– Perl and Python support
Computação Forense 0800 (ou quase !)
R eferênc ias
• Helix– www.e-fense.com/helix
• FCCU– www.lnx4n6.be/
• FDTK– www.fdtk.com
• Caine– www.caine-live.net/en
• PlainSight– www.plainsight.info
• DEFT– www.deftlinux.net
Computação Forense 0800 (ou quase !)
R eferênc ias
• ForLex
– www.forlex.it/ • PTK
– ptk.dflabs.com/index.html• PyFLAG
– www.pyflag.net/ • SANS SIFT
– forensics.sans.org/community/downloads/• MultiISO Live DVD
– www.badfoo.net/• Sumo Linux
– sumolinux.suntzudata.com/
Computação Forense 0800 (ou quase !)
S u g e s t õ e s d e L e i t u r aS u g e s t õ e s d e L e i t u r a
http://forcomp.blogspot.com
http://www.e-evidence.info
Computação Forense 0800 (ou quase !)
O b r ig a d o !O b r ig a d o !
inv.forense arroba gmail ponto com
(Tony Rodrigues)