BackTrack 4 R2 – Novo release "Nemesis"

A equipe do BackTrack lançou o BackTrack 4 R2 com algumas melhorias, como um novo kernel suportando mais placas de rede sem-fio, USB 3.0, Metasploit com suporte a MySQL, entre outras novidades. Veja mais detalhes no anúncio do lançamento, em , em BackTrack 4 R2 download available | BackTrack Linux – Penetration Testing Distribution.

O Básico sobre Metasploit

Para você Profissional de Segurança que quer aprender o básico sobre o metasploit e não sabe onde encontrar informações, segue um ótimo video da Darknet Consulting ( http://darknet-consulting.com/ ), que mostra como fazer isso:

Faça o download do video aqui: http://darknet-consulting.com/video/vector2/meta101.wmv

-- Jacó Ramos Vieira dos Santos

Proteja-se de sites inseguros

É sabido a utilidade que o site virustotal.com tem em exames de perícia na identificação de arquivos suspeitos. Agora é possível fazer o mesmo para sites. O site URLVoid permite que se faça um scan em busca de arquivos maliciosos em sites. O uso é bem intuitivo, basta digitar o endereço e clicar em "Scan Now", que o endereço será submetido à análise feita por 19 antivírus.
Uma segurança a mais para sua navegação. Fica a dica!

Teste se você é uma isca fácil para ladrões de senhas na Internet

O UOL Tecnologia colocou no ar um teste online muito simples e interessante, para você saber se os seus hábitos na Internet te colocam no "grupo de risco" dos que sofrem fraude online.

São algumas perguntas simples e que abordam as principais artimanhas que os criminosos cibernéticos utilizam para enganar os internautas e roubar suas informações (dados pessoais e suas senhas de acesso).

Faça o teste: Você é uma isca fácil para ladrões de senhas e dados na internet?

Computação Forense no Windows 7

Windows 7 was released this past week. A lot of work by the SANS community has been accomplished at uncovering digital forensic artifacts from it. First off, Windows 7 is really Windows VISTA release 2. Many of the features that are found in Windows Vista will be found in Windows 7.

First of all, all the SANS Digital Forensic Courses have already included up-to-date material fully covering Windows 7 and Vista unlike anyone has done before. In fact, our challenge for SEC408, Computer Forensic Essentials is strictly based off of a Windows Vista case. We have details in SEC408, Computer Forensic Essentials, that are not as covered in peer courses.

Here is just a few things we have helped document regarding Windows 7.

User Profiles:

With the release of Vista/Win7, Microsoft significantly changed the folder structure and mechanisms used by the operating system for user profiles. One of these changes was to make roaming profiles more explicit. Roaming profiles allow users to log onto other systems in the domain and have their profile information follow them. They have been around for many years, and in Vista/Win7, Microsoft decided to make what follows a user, and what doesn’t follow a user much more explicit. Hence within a user profile in Vista/Win7, there are now two different set of folders: Roaming and Local. For our purposes, we want to be able to determine where our browser artifacts will be located in this new file structure. Traditionally Microsoft has included cookies in a roaming profile and excluded cache and history files by default. Thus, cookies are now found under the Roaming folder and history and cache can be found within the Local folder.

Internet Explorer:

The major change within Vista/Win7 that affects us when performing browser forensics is the newly implemented “Protected Mode”. The idea is that if malicious code is run in the browser, it will not have the necessary privileges to cause harm to the operating system. Since not all activities using the browser will be unprivileged, a duplicate set of directories were necessary to store files from unprivileged use, called Low folders. An example of what this looks like in the file system is:

%userprofile%\AppData\Local\Microsoft\Windows\History\Low\History.IE5 (for the IE history files)

“Protected Mode” conducts web browsing as an unprivileged user

• A new set of locations were added: low folders
• Most browser evidence will be in low folders
• Local file usage is stored in the standard history folder (because it is not performed with restricted permissions)
• If Protected Mode is turned off, low folders will not be utilized
• If User Access Control (UAC) is turned off, low folders will not be utilized (it is required for Protected Mode to operate)
• If the instance of IE is run with Administrator permissions, the low folders are also not used

USB Key Analysis:

We discussed full Windows 7 USB Key Analysis in this post: http://blogs.sans.org/computer-forensics/2009/09/09/updated-computer-forensic-guide-to-profiling-usb-thumbdrives-on-win7-vista-and-xp/

USB Drive Enclosure Analysis:

We discussed how to perform Windows 7 USB Drive Enclosure Analysis in this post: http://blogs.sans.org/computer-forensics/2009/09/09/usb-key-analysis-vs-usb-drive-enclosure-analysis/

Defrag Analysis:

Chad Tilbury discussed detecting defrag analysis here: http://blogs.sans.org/computer-forensics/2009/08/17/de-mystifying-defrag-identifying-when-the-windows-defragmenter-has-been-used-for-anti-forensics-part-2-vista/

Timeline Analysis:

Kristinn Guðjónsson developed and released a full scope timeline creation tool called log2timeline that is able to parse many Windows Vista and Windows 7 artifacts in a single simple tool.

• Prefetch directory (reads the content of the directory and parses files found inside)
• UserAssist key info (reads the NTUSER.DAT user registry file to parse the content of UserAssist keys)
• Squid access logs (with emulate_httpd_log off)
• Restore points (reads the content of the directory and parses rp.log file inside each restore point)
• Windows shortcut files (LNK)
• Firefox 3 history file (places.sqlite)
• Windows Recycle Bin (INFO2)
• Windows IIS W3C log files
• OpenXML Metadata (for metadata inside Office 2007 documents)
• ISA Server text export from queries (saved to clipboard and from there to a text file)
• TLN (Timeline) body file
• Mactime body file (so it can be output in a different format)

http://blogs.sans.org/computer-forensics/2009/08/13/artifact-timeline-creation-and-analysis-tool-release-log2timeline/

Shadow Copy Forensics

Troy Larson from Microsoft has done a wonderful job continuing to discuss the Shadow Volume Copy and ways you can examine them in an investigation. We posted back in 2008 on many of his techniques.

http://blogs.sans.org/computer-forensics/2008/10/10/shadow-forensics/

The work continues: There are many artifacts yet to be uncovered and more work is being done. Keep your eyes peeled on this site and additional sites like Harlan Carvey’s http://windowsir.blogspot.com/ as he is publishing many details as well.

If you have any sites that contains Windows 7 artifact information please post them in comments and Ill update the post as we move forward.

Fonte: http://blogs.sans.org/computer-forensics/2009/10/27/windows-7-computer-forensics/

Recupera ou não recupera ?

Um assunto balançou recentemente as estruturas de uma lista de discussões sobre Forense Computacional. Foi sobre um artigo e uma entrevista do CEO da Techfusion, uma empresa especializada em recuperação de dados. Nessa entrevista, o CEO alega terem conseguido recuperar dados apagados e sobre-escritos de um disco. Obviamente, isso causou um grande burburinho, primeiro porque foi em um caso famoso, onde os dados foram apagados enquanto estavam sob custódia da Polícia. Além disso, já há bastante "snake-oil" sobre esse assunto, muita gente diz que dá para recuperar e quem é especialista no assunto dizendo que não dá.

Esse assunto foi trazido na lista de discussões, e os especialistas lá conversaram sobre a entrevista. Dentre os comentários mais interessantes, cabe destacar:

- A opinião de todos é unânime em afirmar que não se consegue recuperar conteúdo sobre-escrito;
- O entrevistado, por ser um CEO, não tinha muito domínio técnico, e por vezes cometeu pequenas gafes técnicas;
- Alguns falaram sobre usar aquecimento/resfriamento como parte das técnicas, mas o Dr Craig Wright, experiente no assunto, negou que isso realmente ajude em recuperar arquivos sobre-escritos. Pode ser que ajude na recuperação de HDs que não leem por algum motivo, mas não recupera dados sobre-escritos.
- Além da re-afirmação de que não dá para recuperar dados sobre-escritos, um dos comentários mais interessantes foi o de que recuperar arquivos sobre-escritos pode ser possível. Apesar de tal recuperação não ser possível a partir de dados sobre-escritos, pode ser possível localizar fragmentos de um arquivo temporário que passara por um wipe. Por exemplo, um arquivo Word pode ser recuperado, mesmo depois de um Wipe, através do temporário que é aberto e depois apagado (aqueles arquivos que começam com um ~). Ou seja, não se recupera o dado sobre-escrito, mas é possível achar conteúdo que pertenceu ao temporário do arquivo, solto pelo disco.
- Ainda assim, o Dr Craig afirma que não seria o caso se um disco fosse passado por um processo completo de Wipe, já que dessa forma mesmo os fragmentos seriam também sobre-escritos.

Vai algum comentário ?

SSH - Porta 22

SSH é um serviço que prove acesso remoto - via linha de comando- criptografado a sistemas *nix, mas pode ser instalado também em sistemas Windows. Como podemos ver no gráfico: http://isc.sans.org/port.html?port=22, é também um dos alvos populares de ataques. Ataques estes normalmente realizados por força bruta explorando o uso de senhas fracas.

Os principais métodos de proteção são:

• Configurar o serviço para escutar em uma porta diferente da 22 (Porta padrão).
• Instalar ferramentas de prevenção a ataques de força bruta como: DenyHosts, fail2ban, blockhosts, etc.

• Desabilitar o acesso remoto ao usuário root. Configuração feita no arquivo /etc/ssh/sshd_config alterando a diretiva PermitRootLogin para "no".

E você quais os métodos que você usa para proteger e tornar seguro seu serviço SSH ?