LABORATÓRIO DE ENSINO DE FORENSE COMPUTACIONAL

TCC Forense Computacional

     Gostaria de compartilhar com os leitores um grande trabalho de pesquisa feito durante o curso de Pós-graduação em Auditoria e Segurança da Informação realizado na UNISUAM no anos de 2008 juntamente com um grande amigo e profissional de segurança da informação Leonardo Ovídio. Aproveito a oportunidades para agradecer a todos que colaboraram com este material, em especial aos nossos mestres Alex Avellar e Denílson Vedoveto.

Introdução

     O levantamento realizado ao longo desta documentação visa proporcionar aos leitores connhecimentos fundamentais e necessários para a realização de uma perícia eficaz, para isso é importante a realização de metodos eficazes a pericia forense computacional, esses metodos veêm sendo aperfeiçoado constantemente por peritos, acadêmicos, pesquisadores e outros profissionais do ramo, por isso no decorrer desta documentação será detalhado as principais e mais recente técnicas utilizadas por grandes empresas, profissionais e estudantes do segmento, assim como são elaborados novas técnicas para burlar as solucões de seguranças a analise forense tem buscado se aprimorar com o intuito minizar as vulnerabilidades, mantendo sempre uma pericia coesa com critério bem definidos.

     Neste material é minuciosamente detalhado, não somente a teoria e as definições da pericia forense computacional, como também é destacado as boas práticas para a realização de uma pericia, a metodologia utilizada em uma analise, ferramentas eficazes para a uma pericia entre outros pontos importantes e práticos a uma investigação.

    A identificação e coleta de evidências é destacado, por ser de grande importância para a analise pericial e por ser utilizada em uma possível ação judicial contra um atacante identificado. Quanto mais sofisticada uma ferramenta forense, mais chance se tem de identificar possíveis evidências em um incidente. Porém, não basta somente ter uma boa ferramenta, o Perito precisa ser qualificado o suficiente tanto na ferramenta, quanto em sistemas operacionais, redes e segurança. Uma boa metodologia pode garantir procedimentos adequados e, também, uma cadeia de custódia satisfatória para preservação da evidência até o momento de sua apresentação.

   Esse trabalho, irá mostrar como um perito forense trabalha na busca por provas, conceitos de uma perícia forense computacional, algumas particularidades sobre sistemas operacionais Windows e Linux, dissertando sobre seus principais sistemas de arquivos e como recuperar informações importantes em áreas não alocadas mostrando ferramentas específicas.

   Por fim, será dissertado alguns pontos sobre perícia forense computacional, de forma remota, abordando suas vantagens e desvantagens dentro de uma investigação.

Gostaria de ler esta documentação na integra.

Por RESENDE, Carlos; OVÍDIO, Leonardo

Boletim de Segurança Microsoft 02/08/2010

Este alerta tem por objetivo fornecer uma visão geral do novo Boletim de Segurança (fora do ciclo mensal regular) disponibilizado em 02 de Agosto de 2010.


VISÃO GERAL DO NOVO BOLETIM DE SEGURANÇA

A Microsoft está disponibilizando 1 (um) novo boletim de segurança para vulnerabilidades recém-descobertas:

Boletim de Segurança - Fonte Microsoft

SUMÁRIO EXECUTIVO

Esta atualização de segurança soluciona uma vulnerabilidade divulgada publicamente no Shell do Windows. A vulnerabilidade pode permitir a execução remota de código se o ícone de um atalho especialmente criado for exibido. Um intruso que explorar com sucesso esta vulnerabilidade pode obter os mesmos direitos do usuário local. Usuários cujas contas estiverem configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que operam com direitos administrativos.

Esta atualização de segurança foi classificada como Crítica para todas as edições suportadas do Microsoft Windows. A atualização de segurança soluciona a vulnerabilidade corrigindo a validação das referências do ícone do atalho.

Esta atualização de segurança soluciona a vulnerabilidade descrita inicialmente no Comunicado de Segurança Microsoft 2286198.

Por Microsoft

Acentuação no Mac

Método tradicional

O método tradicional ou padrão de acentuação nos macintosh é recomendado pela Apple e utilizado em empresas, onde os usuários não têm permissão para instalar outros layouts de teclados. De qualquer forma é importante ter o conhecimento das teclas de atalho. Veja os exemplos:

Acento Agudo (´): Option + E
Acento Circunflexo (^): Option + I
Til (~): Optin + N
C Com Cedilha (Ç): Option + C
Trema (¨): Option + U
Crase (`): Option + Tecla `

Obs: Esses atalho funcionam apenas com a tecla Caps Lock desativada.

Com a instalação de Layouts

Identifique o layout de seu teclado e siga o passo a passo (Para esse exemplo vamos utilizar o padrão U.S. International, porém os procedimentos são os mesmos para qualquer modelo de teclado).

1- Faça o download do arquivo USInternational versão 1.2 (Instale a versão 1.1 se estiver usando o Mac OS X 10.3.x ou versões anteriores.

Selecione o local de destino para o arquivo.

2- Ao terminar o download o arquivo USI12.dmg irá aparecer em sua maquina, dê um duplo clique no arquivo e a janela abaixo será exibida.

Nesta janela apenas copie o arquivo U.S. International.

3- Cole o arquivo U.S. International dentro da pasta /Library/Keyboard Layouts, como mostrado na imagem abaixo.

Arquivo U.S. International já na pasta Keyboard Layouts.

4- Reinicie o computador e em seguida vá “System Preferences” e clique em International semelhante ao exemplo.

Na primeira linha clique em international.

5- Na guia Input Menu selecione o novo layout do teclado nesse caso U.S. International.

Seleção do idioma U.S. International.

7. Se mais de um layout estiverem selecionados, aparecerá ao lado do relógio uma bandeira dos EUA e ao clicar nela aparecerá a opção para selecionar a bandeira U.S. International ou um outro idioma que tenha instalado.

A opção para escolher o idioma.

Caso seu teclado seja padrão ABNT 2, faça o download do arquivo criado e siga os passos anteriores.

Download do arquivo para teclado ABNT 2 versão 1.5.


Por Carlos Resende

Forense Computacional (em espanhol)

Boletim de Segurança Microsoft

Este alerta tem por objetivo fornecer uma visão geral dos novos Boletins de Segurança disponibilizados em 13 de Julho de 2010. Boletins de segurança são disponibilizados mensalmente para solucionar vulnerabilidades de segurança.

Novos Boletins de Segurança
A Microsoft está disponibilizando 4 (quatro) novos boletins de segurança para vulnerabilidades recém-descobertas:

O resumo deste novo boletim está disponível na seguinte página (digite em seu browser):
http://www.microsoft.com/brasil/technet/security/bulletin/MS10-jul.mspx (em português)
http://www.microsoft.com/technet/security/bulletin/MS10-jul.mspx (em inglês)

Microsoft Windows Malicious Software Removal Tool
A Microsoft está lançando uma versão atualizada do Microsoft Windows Malicious Software Removal Tool no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. Observe que esta ferramenta NÃO será distribuída através do Software Update Services (SUS). Informações sobre o Microsoft Windows Malicious Software Removal Tool podem ser obtidas em (digite em seu browser): http://support.microsoft.com/?kbid=890830.

Atualizações Não Relacionadas à Segurança de Alta Prioridade
Atualizações não relacionadas à segurança de alta prioridade no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) estão detalhadas no seguinte artigo da Base de Conhecimento (digite em seu browser): http://support.microsoft.com/?id=894199.

Por Microsoft

Mac dicas - Parte 1

Para dar o ZAP na PRAM:
1) reinicie o mac apertando as teclas maçã + option + r + p
2) ao ouvir o terceiro som de inicialização (som do startup) solte as teclas e deixa abrir.
Restaura parâmetros de fábrica com isso algumas configurações de preferências são restauradas ao padrão de fabrica.

Restaurando a Firmware:
1) reinicie o mac apertando as teclas maçã + option + o + f
2) digite: reset-nvram
3) digite set-defaults e depois reset-all

Para um First Aid através do Terminal:
First Aid pelo Terminal consertar pequenos problemas no HD.
1) reinicie o mac apertando as teclas maçã + s
2) digite: fsck -f (atenção que tem um espaço entre o k e o -)
3) digite mount -uw (outro espaço entre t e -)
e depois, reboot
Para um First Aid através pelo CD:
Você pode fazer o mesmo iniciando pelo CD de instalação e buscando o First Aid no menu e seguindo as instruções .
Assim pode aproveitar para primeiro fazer o First Aid e depois restaurar as permissões, ou vice versa. É recomendado restaurar as permissões, passar o First Aid e novamente restaurar as permissões.
Sempre que instalar alguma coisa, repare as permissões. Isto pode ser feito da maneira acima pelo CD de instalação ou pelo programa Disk Utility que está na pasta Utilities (Utilitários).

Na verdade, para o fsck no Panther ou Tiger, que normalmente se instalam com a função journaling ligada, a receita é um pouco diferente, como abaixo e é usada quando não se consegue dar boot pelo CD ( O first aid não é possível com o programa que está na pasta Utilitários):
1) Reinicie o Mac apertando as teclas maçã + s;
2) Vai reiniciar com uma tela preta cheia de letrinhas;
3) Quando as letrinhas pararem de rolar, digite fsck -y (com um espaço entre o k e o -y);
4) É possível que seu sistema esteja com a função "JOURNALING" ligada. Sendo assim, deve digitar fsck -y -f em vez de apenas fsck -y. Obs.: se digitar fsck -y e estiver com a função ligada, ele pára e manda digitar o -f)
5) Quando o processo chegar ao fim (as letrinhas pararem) digite reboot .
6) Pronto, você passou o First Aid na moda GEEK. Se ao final do processo for exibida a mensagem "File System was modified" repita a operação, até que surja a mensagem "The Disk is ok". Se a cada processo, continuar aparecendo "File system was modified", o File System Check não está sendo suficiente e vc precisa partir para outro nível de reparo de disco, como , Diskwarrior, Drive Genius, TechTool Pro ou outros

Recuperação de Arquivos

Recuperação de Arquivos

A recuperação de arquivos tem sido cada vez mais comum. Este fato vem ocorrendo devido ao crescimento das empresas de recuperação de dados e a enorme quantidade de softwares que aparecem diariamente no mercado alguns livres e limitados outros pagos, ferramentas eficazes, úteis não somente na investigação criminal, mais na informática de um modo geral. Abaixo iremos citar alguns exemplos de softwares de recuperação de arquivos.




Como devo proceder para recuperar arquivos excluídos

1. Parar imediatamente de usar a máquina ou a mídia que deseja recuperar.

2. Criar uma imagem integra e trabalhar em cima dela para não causar mais danos à mídia original.

3. Instale o programa de recuperação de dados em outra máquina e leve a mídia que deseja recuperar para esta máquina, se for um HD que estiver com a imagem coloque-o como secundário.

Segue abaixo uma listagem com 3 softwares livres utilizados na recuperação de dados. Todos funcionam como o proposto pelos fabricantes e a preferência fica de acordo com a necessidade de cada profissional.

1 - PC INSPECTOR - File Recovery



PC INSPECTOR ™ File Recovery 4.x recuperação dos dados é um programa que apóia o FAT 12/16/32 e sistemas de arquivos NTFS. A atual versão 4.x substitui a anterior versão 3.x
Site: http://www.pcinspector.de/


2 - Recuva – File recovery




Recuva (pronunciado "recuperar") é um utilitário freeware compatível com o Windows para restaurar arquivos que foram acidentalmente excluídos de seu computador. Isso inclui arquivos retirados da lixeira, bem como imagens e outros arquivos que tenham sido apagados pelo usuário erro de cartões de memória ou câmera digital, MP3 players. Irá ainda trazer de volta os arquivos que tenham sido suprimidos por bugs, travamentos e vírus!
Site: http://www.recuva.com/


3 - Pandora Recovery



Pandora recuperação - localizar e recuperar arquivos excluídos de qualquer tipo
Pandora Recuperação é uma poderosa ferramenta gratuita que oferece seus usuários uma maneira eficaz para tentar recuperação de arquivos excluídos permanentemente. E isso não significa um processo de restauração da Lixeira. Pandora Recuperação realmente recupera limas removida definitivamente da lixeira, arquivos apagados inicialmente utilizando as teclas Shift + Delete ignorando Lixeira e arquivos apagados a partir do DOS prompt.
Site: http://www.pandorarecovery.com

Estaremos aguardando sugestões para os novos posts.

Por Carlos Resende / Leonardo Ovidio

O inicio

Acabo de criar esse blog com a finalidade de ajudar a todos que tenham dúvidas relacionadas as TI, Redes, Windows, Mac OS, Infraestrutura, Suporte e Segurança da Informação, ou seja trocar conhecimento sobre informática em geral, com muito humor.

Segundo objetivo é trocar conhecimentos interpessoais, dicas em geral sobre comportamento profissional e oportunidades de carreira. Já o terceiro e último é de expor meus pensamentos e idéias.

Quem tiver dúvida ou sugestão sobre materias, que desejam obter conhecimento, basta nos pedir através do http://twitter.com/resendecarlos que iremos pesquisar e postar assim que possível.

O objetivo é orientar e trocar conhecimentos, conto com a colaboração de todos os apaixonados por TI.

Por Carlos Resende