Técnicas anti-forense para ocultação de dados – Parte 2

Colaboração: Alexandre Stratikopoulos

Nesta segunda parte do artigo sobre técnicas anti-forense, abordaremos algumas opções para ocultação de dados na Camanda de Hardware.

O disco rígido, independente do funcionamento dos sistemas operacionais, parece ser um bom local para ocultar dados confidenciais. O processo investigativo e de análise de um disco deve iniciar-se com a obtenção de informações sobre sua geometria e configuração, seguida pelo processo de geração da imagem bit-a-bit do dispositivo.

A seguir, abordaremos 2 áreas do disco que podem ser usadas para ocultação de dados.


MBR
===

Dentre as áreas não acessíveis pelo usuário comum, está a MBR. Como indicado abaixo, é uma prática normal as tabelas de partições (do MBR ou da partição estendidas) começarem na cabeça 0, setor 1 de um cilindro, e o primeirosetor da primeira particão começar na cabeça 1, setor 1 do cilindro.

A consequência dessa prática é a existência de setores não utilizados entre o setor da tabela de partições e início da primeira partição. Esses setores podem ser utilizados para esconder informações, sem qualquer risco de serem detectadas pelo uso normal do sistema de arquivos.

As informações armazenadas em áreas não acessíveis através de um sistema de arquivos podem ser extraídas por meio de raw I/O, utilizando-se, por exemplo, o comando dd e o device node (ou a imagem em arquivo) correspondente ao disco analisado, como ilustrado a seguir:

# dd if=/dev/sda of=image.sda bs=512 skip=1 count=62
62+0 records in
62+0 records out

No exemplo anterior, o comando dd é usado para extrair o espaço não utilizado entre o MBR (setor 0) e o setor de boot da primeira partição do disco (setor 63). A informação é extraída do disco /dev/sda e é preservada no arquivo binário image.sda. As opções bs, skip e count são utilizadas para instruir o comando dd a copiar 62 setores de 512 bytes, a partir do setor de número 1.

MBR
===

A Host Protected Area (HPA) é definida como uma área protegida em um disco rígido, sendo introduzida como um recurso opcional no padrão ATA-4 em 1998 e atualmente, a maioria dos discos rígidos suportam esse recurso.

Este recurso é muito usado por fabricantes de notebook para armazenar imagens do sistema atual, bem como ferramentas de recuperação e diagnóstico. Seu principal objetivo é prover a recuperação do sistema a partir de uma imagem padrão. Se a HPA está sendo utilizada para este propósito, é possível que o investigador forense encontre evidências de dados ocultos nesta área.
Na prática, seu disco tem um espaço maior do que a área utilizada pelo sistema operacional e existem algumas ferramentas gratuítas, como hdat2, que são capazes de acessar e modificar o conteúdo da HPA de um disco.

Para verificar se seu disco tem a HPA habilitada, pode-se utilizar a ferramenta hdat2, como no exemplo abaixo:

No exemplo abaixo, um disco que para o sistema operacional é exibido como sendo de 125G, na verdade tem mais 125G alocado para a HPA.

Conclusão
=========

Normalmente, quando a informação é armazenada tanto na HPA, ela não é acessível pelo BIOS, sistema operacional, ou pelo usuário. No entanto, algumas ferramentas podem ser usadas para acessar e modificar seu conteúdo.

Dado o potencial de colocar esses dados em áreas escondidas, esta é uma área de preocupação para os peritos computacionais.

Espero que isso não seja mais “grego” para você!!

Artigo publicado originalmente em http://gregoweblog.blogspot.com/2009/11/tecnicas-anti-forense-para-ocultacao-de.html

Fonte: www.dicas-l.com.br

Técnicas anti-forense para ocultação de dados

Colaboração: Alexandre Stratikopoulos

Informações podem ser armazenados em discos rígidos sem a utilização das estruturas e facilidades de um sistema de arquivos. Desse modo, informações consideradas valiosas para um processo de análise forense podem estar armazenadas não somente nos arquivos, mas também em áreas do disco que não são acessíveis através do funcionamento normal de um sistema de arquivos.

Diversas técnicas são utilizadas para a ocultação de dados, as quais podem ser aplicadas em 3 camadas:

- Camada de Hardware: MBR, HPA, DCO
- Camada do Sistema de Arquivos: Slack Spaces, ADS, Extended Attributes
- Camada de Aplicação: Esteganografia

File Slack Space
================

Neste primeiro post, abordaremos a técnica denominada File Slack Space, que nada mais é do que a utilização dos espaços subaproveitados de um ou mais blocos de um sistema de arquivos para ocultar informações.

Os sistemas de arquivos armazenam as informações em disco utilizando blocos de dados de tamanho fixo (1Kb, 2Kb ou 4Kb). Contudo, os arquivos em um disco podem ter os mais variados tamanhos, dependendo do seu conteúdo. Desta forma, raramente o tamanho de um arquivo é múltiplo do tamanho de um bloco, o que impede seu armazenamento ideal.

Sendo assim, é comum que o último bloco associado a um arquivo não seja totalmente utilizado por ele, permitindo que dados excluídos deste e de antigos arquivos possam ser capturados e analisados.

Isso não significa dizer que os slack spaces são espaços livres para armazenamento de dados de forma convencional. Os blocos que contém slack spaces são marcados pelo sistema operacional como utilizados e somente serão sobrescritos pelo sistema de arquivos caso o arquivo que o ocupa for expandido. Para o armazenamento, detecção e recuperação de informações em slack spaces, é preciso utilizar ferramentas especializadas, como por exemplo o bmap para sistemas de arquivos ext2/ext3 ou o slacker para NTFS. Essas ferramentas são necessárias pois o sistema operacional ignora as informações armazenadas em slack spaces, uma vez que não há alteração aparente no checksum ou no MAC Time dos arquivos envolvidos.

Bmap
====

Bmap é uma ferramenta forense que pode ser obtida de forma gratuíta. Após sua compilação, podemos ocultar ou recuperar alguma informação e/ou arquivo de forma bem simples.

Em primeiro lugar, devemos identificar algum arquivo já gravado que possua slack space. O comando abaixo exibe a espaço utilizado (277 bytes) pelo arquivo /etc/hosts e seu espaço livre (3819 bytes).

[root@grego ~]# bmap –mode slack /etc/hosts
getting from block 2148457 file size was: 277 slack size: 3819 block size: 4096

Sabemos que o arquivo /etc/hosts possui 3819 bytes de espaço livre para armazenar informações. Antes de armazenar alguma informação no slack space, vamos extrair o checksum do arquivo:

[root@grego ~]# md5sum /etc/hosts

b0627774adcc1129143b2d1d08ecd133 /etc/hosts

Vamos extrair também as informações de MAC Time do arquivo, para compararmos com após a ocultação das informações:

[root@grego ~]# stat /etc/hosts File: `/etc/hosts’

Size: 277 Blocks: 16 IO Block: 4096

regular file Device: fd00h/64768d Inode: 2131987

Links: 1 Access: (0644/-rw-r–r–) Uid: ( 0/ root) Gid: ( 0/ root)

Access: 2009-10-29 01:54:10.000000000 -0200

Modify: 2009-09-18 12:55:16.000000000 -0300

Change: 2009-09-18 12:55:16.000000000 -0300

Podemos ocultar um texto, binário ou imagem usando o pipe para direcionar a saída do comando para o programa bmap. O exemplo abaixo ilustra a ocultação de um texto simples:

[root@grego ~]# echo “Hello World” bmap –mode putslack /etc/hosts

getting from block 2148457 file size was: 277 slack size: 3819 block size: 4096

Podemos confirmar que o MAC Time e o checksum não foram alterados:

[root@grego ~]# md5sum /etc/hosts

b0627774adcc1129143b2d1d08ecd133 /etc/hosts

[root@grego ~]# stat /etc/hosts

File: `/etc/hosts’ Size: 277

Blocks: 16 IO Block: 4096

regular file Device: fd00h/64768d

Inode: 2131987 Links: 1

Access: (0644/-rw-r–r–)

Uid: ( 0/ root)

Gid: ( 0/ root)

Access: 2009-10-29 01:54:10.000000000 -0200

Modify: 2009-09-18 12:55:16.000000000 -0300

Change: 2009-09-18 12:55:16.000000000 -0300

Para listar o conteúdo armazenado no slack space de um arquivo, o comando abaixo pode ser executado:

[root@grego ~]# bmap –mode slack /etc/hosts

getting from block 2148457

file size was: 277 slack size: 3819 block size: 4096 Hello World

Para apagar o conteúdo armazenado no slack space, preservando o conteúdo original de um arquivo, o comando abaixo pode ser executado:

[root@grego ~]# bmap –mode wipe /etc/hosts

Para identificar se um arquivo têm seu slack space utilizado, podemos utilizar o comando abaixo:

[root@grego ~]# bmap –mode checkslack /etc/hosts /etc/hosts does not have slack

Conclusão =========

A análise de informações extraídas das áreas não acessíveis através de um sistema de arquivos é, na maioria das vezes, um processo tedioso e demorado já que esses dados geralmente constituem um fluxo de bits sem estrutura alguma aparente. Porém, com o uso de ferramentas adequadas, pode-se obter bons resultados no processo investigativo.

Espero que isso não seja mais “grego” para você!!

Artigo publicado originalmente em http://gregoweblog.blogspot.com/2009/10/tecnicas-anti-forense-para-ocultacao-de.html

Fonte: http://www.dicas-l.com.br

Hackers “bombardeiam” urnas eletrônicas em novembro

A segurança das urnas eletrônicas será posta à prova no mês que vem por 26 especialistas em informática e hackers que se inscreveram em um desafio aberto pelo Tribunal Superior Eleitoral (TSE).

“O tribunal decidiu aceitar a inscrição de todas as pessoas que manifestaram interesse em pôr as urnas à toda prova para mostrar que não há intenção de vetar ninguém nem nenhum tipo de estratégia”, disse um representante do TSE.

Os 26 hackers e especialistas, que terão acesso tanto ao hardware como ao software do sistema, participarão entre os dias 10 e 13 de novembro dos testes públicos de segurança do sistema eletrônico de votação na sede do tribunal.

Os dez desafiantes, já que alguns trabalharão em grupo, terão quatro dias para tentar violar os códigos de segurança do software, o sigilo do voto ou para alterar algum voto digitado com a ajuda de diversos programas e equipamentos.

O TSE decidiu promover o desafio em resposta às reclamações de alguns partidos políticos que alegam que a apuração de uma eleição no Brasil pode ser manipulada por especialistas em informática.

Para o secretário de tecnologia da informação do TSE, Giuseppe Janino, o teste também servirá para detectar possíveis lacunas no sistema.

Segundo Janino, entre os desafiantes inscritos figuram desde profissionais em ciência da computação, engenharia eletrônica e análise de sistemas, até especialistas em auditoria.

O secretário acrescentou que a diversidade das estratégias que serão utilizadas pelos desafiantes pode ser medida no prazo que cada um solicitou para tentar violar o sistema, que varia de uma hora até quatro dias.

Planos de ataque

“Um dos inscritos alega que a pesquisa por ondas eletromagnéticas permite identificar as teclas usadas pelo eleitor e, assim, violar o sigilo do voto”, afirmou Janino, citado em comunicado do tribunal.

“Também há planos para tentar invadir o sistema com softwares maliciosos”, acrescentou, ao se referir a um desafiante que pretende chegar à memória da urna com um programa criado especialmente para violações de sistemas.

“Sua intenção é promover desvios nos votos digitados com um software que se autodestrói depois de usado para não deixar vestígios”, disse.

O TSE premiará com R$ 5 mil ao grupo de desafiantes que mais se aproximar do objetivo de violar a segurança do sistema.

Fonte: http://www1.folha.uol.com.br/folha/informatica/ult124u645011.shtml

Registrado e publicado o domínio do ISSA Brasil – Capítulo ES

Pessoal,

É com enorme satisfação que informo o registro e a publicação do domínio www.issabrasil-es.org na internet.

Em breve, estaremos oficializados perante ao ISSA Internacional, o qual no momento, só estamos aguardando o registro dos documentos enviados para que possamos ser reconhecidos e oficialmente como o segundo Capítulo do ISSA no Brasil.

Agradeço a todos que colaboraram com esse empreendimento e que torceram com o nosso sucesso.

Abraços,

Aneel aprova distribuição de TV paga e internet por rede de energia

Brasília

A diretoria colegiada da Agência Nacional de Energia Elétrica (Aneel) aprovou ontem as regras para o uso da tecnologia conhecida como “Power Line Communications” (PLC) no país – sistema que utiliza a rede de energia elétrica como meio de transporte de sinais de internet, vídeo e voz.

Na prática, o sistema permitirá, assim que implementado, o acesso à internet, ou à TV por assinatura, por meio da rede elétrica – já presente na maior parte das residências do Brasil. “Assim, um ponto de energia pode ser uma tomada para ligar o eletrodoméstico e, simultaneamente, um ponto de rede de dados para a provedora de internet ou TV por assinatura”, explicou a Aneel, em nota.

Segundo a Agência, os consumidores de telecomunicações serão beneficiados, uma vez que o uso de redes existentes “evita custos com implantação de novas infraestruturas ou necessita de poucos investimentos”.

Outro benefício, informou a Aneel, é a utilização da rede elétrica para a inclusão digital, pois a penetração do serviço de energia elétrica é maior que o de telecomunicação.

O serviço não estará disponível, porém, de imediato. O início das operações em cada região depende das distribuidoras. Segundo as regras do setor elétrico, as concessionárias só podem prestar serviços de distribuição de energia. Desse modo, não podem operar diretamente os serviços de internet. Se optarem por entrar no negócio, terão de criar uma subsidiária com esta finalidade, informou a Agência Nacional de Energia Elétrica.

De acordo com a Aneel, a medida representará redução de custos aos consumidores, pois estes poderão contar com a “apropriação” de parte dos “lucros adicionais” obtidos por meio da cessão das instalações de distribuição, em benefício do estabelecimento de tarifas mais baixas.

Custo

Os preços e velocidade desse serviço ainda não estão definidos. Testes já realizados no país mostram que a conexão pode chegar a 21 megabits por segundo (Mbps), mas essa velocidade não será, necessariamente, repassada em sua totalidade para os consumidores.

Para adotar essa alternativa, os futuros usuários não precisarão fazer substituições no sistema elétrico – a não ser que ele já esteja bastante deteriorado. O único investimento extra necessário para esse internauta é o modem BPL (com visual parecido ao de uma fonte para carregar bateria de notebooks), que leva a conexão da tomada até o PC.

Entenda o que muda com o novo sistema

Estrutura existente. A principal vantagem dessa tecnologia, que fornecerá acesso à web pela tomada, é o fato de ela aproveitar uma estrutura já existente para chegar a regiões onde outras alternativas de acesso rápido ainda não estão disponíveis.

Tecnologia. Para ser oferecida comercialmente, a internet via rede elétrica (também chamada de BPL, sigla em inglês para broadband over power lines) ainda depende de um acordo entre as empresas de telecomunicações e as concessionárias de energia elétrica. Marcos de Souza Oliveira, gerente de engenharia do espectro da Anatel, acredita que essa tecnologia pode chegar oficialmente ao mercado no segundo semestre de 2009.

Vantagens. A tecnologia é particularmente vantajosa por dispensar a criação de uma estrutura considerada cara – como a de cabeamento – em regiões do país onde a internet rápida ainda não chega. No caso da BPL, a transmissão de dados é feita por meio da estrutura já existente de distribuição de energia elétrica.

Envio. Os dados podem ser enviados diretamente do provedor de acesso para a rede elétrica até chegar aos usuários. Também é possível mesclar a forma de transmissão onde já existem outras estruturas: a conexão pode ser feita via cabo a partir do provedor até a região de um prédio. Se o edifício não tiver cabeamento, por exemplo, a conexão pode continuar sendo feita via rede elétrica até os apartamentos.

Faturas. Para os usuários dessa alternativa, a conta de luz continuará separada daquela referente à web. Trata-se da mesma estrutura, mas usada para fins diferentes. Em vez de transmitir somente luz, a fiação elétrica também passará a fornecer acesso à internet. Segundo ele, cada tipo transmissão será feita através de frequências diferentes e, por isso, um serviço não vai interferir no outro.

Fonte: A Gazeta (http://gazetaonline.globo.com/index.php?id=/local/a_gazeta/materia.php&cd_matia=526596)

Forense: mantendo uma conduta profissional

O profissional na área forense, apesar de todo o seu conteúdo técnico, experiência, networking qualificado, precisa se preocupar com a sua conduta profissional nos meios da sociedade, pois esta, será determinante para a sua credibilidade. Um investigador forense não pode durante a perícia, ficar contando piada, chacotas, divulgando trabalhos forenses passados, informações estas, protegidas pelo sigilo profissional.

Os investigadores devem mostrar um nível ético incontestável, garantindo a sua integridade e demonstrando a sua capacidade para os trabalhos forenses. Deve-se atentar para sua integridade moral, promovendo a imagem de um profissional forense responsável, dedicado e que espera fazer o melhor possível em cada trabalho a ser desenvolvido.

Em cada caso, é salutar comentar as o caso em concreto com as pessoas ou partes envolvidas no caso, as quais devem ser informadas ou consultadas, para dirimir qualquer dúvida a respeito das informações acolhidas. Não se pode trocar informações por pura curiosidade de pessoas próximas ao investigado, nem divulgar os dados colhidos nos meios de comunicação sem a devida autorização das autoridades competentes, titulares dos casos de perícia.

Assim como um dos pilares da segurança da informação, a confidencialidade do perito forense é uma característica essencial que todo o trabalhador forense deve mostrar. Toda a informação obtida no caso, não pode ser divulgada e nem ter proveito próprio, mantendo o sigilo necessário e dessa forma, solidifcando ainda mais a figura do investigador forense, um trabalho que merece respeito e dedicação.

Projeto que regulamenta profissão de analistas de sistema é aprovado

Proposta do senador Expedito Júnior (PR-RO) passa pela Comissão de Constituição, Justiça e Cidadania (CCJ).

Projeto (PLS 607/07), de autoria do senador Expedito Júnior (PR-RO), que regulamenta o exercício da profissão de analista de sistemas foi aprovado na última quarta-feira (19/08) pela Comissão de Constituição, Justiça e Cidadania (CCJ). Agora, segue para análise da Comissão de Assuntos Sociais (CAS), em decisão terminativa - tomada por uma comissão, com valor de uma decisão do Senado.

Pelo substitutivo aprovado anteriormente pela Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) e acolhido pelo relator na CCJ, senador Marconi Perillo (PSDB-GO), apenas profissionais com diploma superior em Análise de Sistemas, Ciência da Computação ou Processamento de Dados poderão exercer a profissão de analista de sistemas.

Já a profissão de Técnico de Informática poderá ser exercida por portadores de diploma de ensino médio ou equivalente com curso técnico de Informática ou de Programação de Computadores, expedido por escolas oficiais ou reconhecidas.

A proposta torna privativa do analista de sistemas “a responsabilidade técnica por projetos e sistemas para processamento de dados, informática e automação, assim como a emissão de laudos, relatórios ou pareceres técnicos”.

* com informações da Agência Senado

Fonte: ComputerWorld (http://computerworld.uol.com.br/carreira/2009/08/21/projeto-que-regulamenta-profissao-de-analistas-de-sistema-e-aprovado/)