quarta-feira, 11 de novembro de 2009

Teste se você é uma isca fácil para ladrões de senhas na Internet

O UOL Tecnologia colocou no ar um teste online muito simples e interessante, para você saber se os seus hábitos na Internet te colocam no "grupo de risco" dos que sofrem fraude online.

São algumas perguntas simples e que abordam as principais artimanhas que os criminosos cibernéticos utilizam para enganar os internautas e roubar suas informações (dados pessoais e suas senhas de acesso).

Faça o teste: Você é uma isca fácil para ladrões de senhas e dados na internet?

terça-feira, 27 de outubro de 2009

Computação Forense no Windows 7

Windows 7 was released this past week. A lot of work by the SANS community has been accomplished at uncovering digital forensic artifacts from it. First off, Windows 7 is really Windows VISTA release 2. Many of the features that are found in Windows Vista will be found in Windows 7. WIN7

First of all, all the SANS Digital Forensic Courses have already included up-to-date material fully covering Windows 7 and Vista unlike anyone has done before. In fact, our challenge for SEC408, Computer Forensic Essentials is strictly based off of a Windows Vista case. We have details in SEC408, Computer Forensic Essentials, that are not as covered in peer courses.

Here is just a few things we have helped document regarding Windows 7.

User Profiles:

With the release of Vista/Win7, Microsoft significantly changed the folder structure and mechanisms used by the operating system for user profiles. One of these changes was to make roaming profiles more explicit. Roaming profiles allow users to log onto other systems in the domain and have their profile information follow them. They have been around for many years, and in Vista/Win7, Microsoft decided to make what follows a user, and what doesn’t follow a user much more explicit. Hence within a user profile in Vista/Win7, there are now two different set of folders: Roaming and Local. For our purposes, we want to be able to determine where our browser artifacts will be located in this new file structure. Traditionally Microsoft has included cookies in a roaming profile and excluded cache and history files by default. Thus, cookies are now found under the Roaming folder and history and cache can be found within the Local folder.


Internet Explorer:

The major change within Vista/Win7 that affects us when performing browser forensics is the newly implemented “Protected Mode”. The idea is that if malicious code is run in the browser, it will not have the necessary privileges to cause harm to the operating system. Since not all activities using the browser will be unprivileged, a duplicate set of directories were necessary to store files from unprivileged use, called Low folders. An example of what this looks like in the file system is:

%userprofile%\AppData\Local\Microsoft\Windows\History\Low\History.IE5 (for the IE history files)

“Protected Mode” conducts web browsing as an unprivileged user

  • A new set of locations were added: low folders
  • Most browser evidence will be in low folders
  • Local file usage is stored in the standard history folder (because it is not performed with restricted permissions)
  • If Protected Mode is turned off, low folders will not be utilized
  • If User Access Control (UAC) is turned off, low folders will not be utilized (it is required for Protected Mode to operate)
  • If the instance of IE is run with Administrator permissions, the low folders are also not used

Locations for History Files in Windows 7

USB Key Analysis:

We discussed full Windows 7 USB Key Analysis in this post: http://blogs.sans.org/computer-forensics/2009/09/09/updated-computer-forensic-guide-to-profiling-usb-thumbdrives-on-win7-vista-and-xp/

USB Drive Enclosure Analysis:

We discussed how to perform Windows 7 USB Drive Enclosure Analysis in this post: http://blogs.sans.org/computer-forensics/2009/09/09/usb-key-analysis-vs-usb-drive-enclosure-analysis/

Defrag Analysis:

Chad Tilbury discussed detecting defrag analysis here: http://blogs.sans.org/computer-forensics/2009/08/17/de-mystifying-defrag-identifying-when-the-windows-defragmenter-has-been-used-for-anti-forensics-part-2-vista/

Timeline Analysis:

Kristinn Guðjónsson developed and released a full scope timeline creation tool called log2timeline that is able to parse many Windows Vista and Windows 7 artifacts in a single simple tool.

  • Prefetch directory (reads the content of the directory and parses files found inside)
  • UserAssist key info (reads the NTUSER.DAT user registry file to parse the content of UserAssist keys)
  • Squid access logs (with emulate_httpd_log off)
  • Restore points (reads the content of the directory and parses rp.log file inside each restore point)
  • Windows shortcut files (LNK)
  • Firefox 3 history file (places.sqlite)
  • Windows Recycle Bin (INFO2)
  • Windows IIS W3C log files
  • OpenXML Metadata (for metadata inside Office 2007 documents)
  • ISA Server text export from queries (saved to clipboard and from there to a text file)
  • TLN (Timeline) body file
  • Mactime body file (so it can be output in a different format)

http://blogs.sans.org/computer-forensics/2009/08/13/artifact-timeline-creation-and-analysis-tool-release-log2timeline/

Shadow Copy Forensics

Troy Larson from Microsoft has done a wonderful job continuing to discuss the Shadow Volume Copy and ways you can examine them in an investigation. We posted back in 2008 on many of his techniques.

http://blogs.sans.org/computer-forensics/2008/10/10/shadow-forensics/

The work continues: There are many artifacts yet to be uncovered and more work is being done. Keep your eyes peeled on this site and additional sites like Harlan Carvey’s http://windowsir.blogspot.com/ as he is publishing many details as well.

If you have any sites that contains Windows 7 artifact information please post them in comments and Ill update the post as we move forward.


Fonte: http://blogs.sans.org/computer-forensics/2009/10/27/windows-7-computer-forensics/

quinta-feira, 22 de outubro de 2009

Recupera ou não recupera ?

Um assunto balançou recentemente as estruturas de uma lista de discussões sobre Forense Computacional. Foi sobre um artigo e uma entrevista do CEO da Techfusion, uma empresa especializada em recuperação de dados. Nessa entrevista, o CEO alega terem conseguido recuperar dados apagados e sobre-escritos de um disco. Obviamente, isso causou um grande burburinho, primeiro porque foi em um caso famoso, onde os dados foram apagados enquanto estavam sob custódia da Polícia. Além disso, já há bastante "snake-oil" sobre esse assunto, muita gente diz que dá para recuperar e quem é especialista no assunto dizendo que não dá.

Esse assunto foi trazido na lista de discussões, e os especialistas lá conversaram sobre a entrevista. Dentre os comentários mais interessantes, cabe destacar:

- A opinião de todos é unânime em afirmar que não se consegue recuperar conteúdo sobre-escrito;
- O entrevistado, por ser um CEO, não tinha muito domínio técnico, e por vezes cometeu pequenas gafes técnicas;
- Alguns falaram sobre usar aquecimento/resfriamento como parte das técnicas, mas o Dr Craig Wright, experiente no assunto, negou que isso realmente ajude em recuperar arquivos sobre-escritos. Pode ser que ajude na recuperação de HDs que não leem por algum motivo, mas não recupera dados sobre-escritos.
- Além da re-afirmação de que não dá para recuperar dados sobre-escritos, um dos comentários mais interessantes foi o de que recuperar arquivos sobre-escritos pode ser possível. Apesar de tal recuperação não ser possível a partir de dados sobre-escritos, pode ser possível localizar fragmentos de um arquivo temporário que passara por um wipe. Por exemplo, um arquivo Word pode ser recuperado, mesmo depois de um Wipe, através do temporário que é aberto e depois apagado (aqueles arquivos que começam com um ~). Ou seja, não se recupera o dado sobre-escrito, mas é possível achar conteúdo que pertenceu ao temporário do arquivo, solto pelo disco.
- Ainda assim, o Dr Craig afirma que não seria o caso se um disco fosse passado por um processo completo de Wipe, já que dessa forma mesmo os fragmentos seriam também sobre-escritos.

Vai algum comentário ?

sábado, 17 de outubro de 2009

SSH - Porta 22

SSH é um serviço que prove acesso remoto - via linha de comando- criptografado a sistemas *nix, mas pode ser instalado também em sistemas Windows. Como podemos ver no gráfico: http://isc.sans.org/port.html?port=22, é também um dos alvos populares de ataques. Ataques estes normalmente realizados por força bruta explorando o uso de senhas fracas.

Os principais métodos de proteção são:

  • Configurar o serviço para escutar em uma porta diferente da 22 (Porta padrão).
  • Instalar ferramentas de prevenção a ataques de força bruta como: DenyHosts, fail2ban, blockhosts, etc.
  • Desabilitar o acesso remoto ao usuário root. Configuração feita no arquivo /etc/ssh/sshd_config alterando a diretiva PermitRootLogin para "no".
E você quais os métodos que você usa para proteger e tornar seguro seu serviço SSH ?

quinta-feira, 15 de outubro de 2009

O que é Forense Computacional ?

Forense computacional é a ciência voltada para a obtenção, preservação e documentação de evidên­cias, a partir de dispositivos de armazenagem ele­trônica digital, como computadores, pagers, PDAs, câmeras digitais, telefones celulares e vários outros dispositivos de armazenamento em memória. Tudo deverá ser feito para preservar o valor comproba­tório das evidências e para assegurar que isto possa
ser utilizado em procedimentos legais.

(An introduction to Computer Forensics,
Information Security and Forensics Society, abr. 04, disponível em http://www.isfs.org.hk/publications/public.htm)


Com isso :

✔ A forense computacional busca, em dispositivos de armazenamento, evidências de ações incompatíveis, danosas ou criminosas.
✔ Tais ações podem ser locais ou remotas (via rede).
✔ Geralmente, as citadas ações estão relacionadas a roubo de informações, fraudes, pedofilia, defacements, intrusões e crimes cibernéticos em geral.

Até o próximo post pessoal!

Lan houses paranaenses agora são obrigadas a cadastrar clientes

Os estabelecimentos no Paraná, popularmente conhecidos por lan houses, agora terão que manter cadastros atualizados dos clientes. Além disso, terão que instalar câmeras de vigilância no interior das lojas. O projeto, votado e aprovado pela Assembleia Legislativa, foi promulgado pelo presidente da Assembleia Legislativa, Nelson Justus (DEM) e para valer basta ser publicado em Diário Oficial.

De acordo com o deputado Marcelo Rangel (PPS), um dos autores da proposta, a fiscalização ficará a cargo dos proprietários destes estabelecimentos. Ele explica que assim que a legislação começar a valer, as lan houses que descumprirem poderão responder criminalmente caso algum ato ilícito ocorra a partir do uso dos computadores destes estabelecimentos.

Para o deputado Ney Leprevost (PP), os proprietários podem receber a nova regra como um aumento de dispêndio. Mas, na avaliação dele a adoção do cadastro dos usuários, assim como o uso de câmeras, impedirá que no caso de um ato criminal cometido a partir do uso destes computadores, os proprietários venham a responder por isso judicialmente.

Os cadastros terão que ser atualizados e mantidos por um prazo de dois anos, contendo o número de documento apresentado para identificar o usuário; endereço e telefone; equipamento usado (horários do início e término da utilização); o Protocolo Internet (IP), uma espécie de número de identificação do maquinário.

Os dados terão que ser armazenados por meio eletrônico e é proibida a divulgação, exceto mediante expressa autorização do cliente, pedido formal de seu representante legal ou ordem judicial.

Texto similar está sendo debatido pelo Senado Federal, já tendo sido aprovado pela Comissão de Constituição, Justiça e Cidadania (CCJ). Mas, antes de virar uma legislação nacional ainda deve ser votado pela Câmara dos Deputados. Caso entre em vigor, as lan houses e ciber cafés de todo o País serão obrigadas a cadastrar todos os usuários. As multas para aqueles estabelecimentos que descumprirem variam entre R$ 10 mil e R$ 100 mil, podendo até serem fechados. A motivação para a iniciativa é a mesma dos deputados estaduais paranaenses, a de coibir a prática de crimes a partir do uso de computadores nestes locais.


Fonte: http://www.internetlegal.com.br/2009/10/lan-houses-paranaenses-agora-sao-obrigadas-a-cadastrar-clientes/

sexta-feira, 9 de outubro de 2009

Timestamps e WTF

WTF não é um termo técnico, mas deve ser a expressão mais usada de 8 entre 10 Peritos e Investigadores em Forense Computacional. Li esse termo hoje em um artigo muito bom, que traduz a essência do que é ser Perito: Analisar bem os vestígios e saber como as ferramentas que temos nas mãos funciona.

A situação ocorre quando, por necessidade de uma ordem judicial, um micro é apreendido para ser investigado. O Perito já está de posse do depoimento do usuário/dono do micro, que entre outras coisas, diz que o micro é novinho em folha. Ele diz que tinha comprado um HD novo e decidiu instalar o Windows XP logo depois de um jogo na TV. Isso tinha acontecido no dia anterior ao micro ser apreendido.

De posse dessas informações, o perito anota no seu caderninho (é um cara bem antigo, não usa CaseNotes):

- Data da operação: Dia 1 de setembro.
- Data da instalação: Dia 31 de agosto, por volta de 18h30.

O Perito prossegue, analisando a imagem que foi feita da máquina, obviamente segundo o processo forense (ou seja, duplicação bit-a-bit). Ao analisar o Registry, encontra lá, dentro de muitas chaves, a que informa a hora exata da instalação do Sistema Operacional:
HKLM/Software/Microsoft/Windows NT/CurrentVersion/InstallDate: 31/08/2009 22h30. Como bom Perito, ele sabe que essa hora está no formato GMT e logo deduz que o vestígio encontrado indica que a instalação do SO ocorreu em 19h30 (Hora de Brasília).

- "Bem", ele pensa, "estamos indo conforme o depoimento, tudo ok até aqui". O próximo passo é olhar timestamps do NTFS, para montar seu timeline. Antes disso, passeando pelo Autopsy, ele decide verificar o timestamp dos objetos do NT ($MFT, $LogFile e outros). Ora, se tudo estiver correto, o timestamp deverá indicar por volta de 18h30, já que entre a criação do sistema de arquivos e a finalização da instalação do SO, temos por volta de uma hora. Ele anota a data/hora e, sabendo que todas estão em notação GMT, converte-as para o nosso fuso horário e tem o resultado: 31/08/2009 15h33.

WTF ???? (O artigo é em inglês, então faça um exercício de imaginação sobre essas siglas aí ...)

O que poderia estar acontecendo ??? Então o dono da máquina iniciou a instalação às 15h33, com a formatação do HD novo, e ela só foi terminada mais tarde, por volta das 19h30 ?? O que houve no meio do caminho ?? Ele teria mentido sobre o que aconteceu ????

A resposta é um sonoro não !

O caso é que, como a formatação é uma das primeiras coisas que acontecem na operação de instalação de um SO novo, no momento da criação dos objetos do NT, o programa de formatação não tem ainda a referencia ao fuso horário. Essa informação só fica estabelecida posteriormente. Por conta disso, ele pega a data da Bios e grava ela nos timestamps diretamente, sem nenhuma conversão. Quando a instalação é finalizada, ao escrever essa informação no Registry, o fuso já é conhecido. Portanto, o SO pega a hora da BIOS e converte para GMT, gravando-a em seguida.

Assim, mesmo que a regra geral seja de que os timestamps do NTFS estão todos em GMT, temos a exceção: Os timestamps dos objetos de NTFS criados em uma formatação antes da instalação do SO estarão em horário local.

Dessa forma, a hora que o Perito viu (18h33) não precisava ser convertida (no nosso caso, subtraindo 3 para usar como hora de Brasília) . 18h33 foi a data/hora correta de formatação do HD, conferindo com o depoimento.

Moral da História: Cuidado com conversões de timestamps, principalmente quando os utilitários as fazem automaticamente.

Pergunta de prova: O que aconteceria se, ao invés de uma instalação novíssima, do zero, estivesse sendo feita uma formatação completa para uma reinstalação ? Comente !

Postagem retirada de: http://forcomp.blogspot.com/2009/09/wtf-e-timestamps.html