SlideShare une entreprise Scribd logo

V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”

Clavis Segurança da Informação
Clavis Segurança da Informação

Ricardo Kleber (IFRN)

1  sur  44
Télécharger pour lire hors ligne
Data Carving em Mídias e em Redes Ricardo Kléber Martins Galvão www.ricardokleber.com.br  ricardo.galvao@ifrn.edu.br     Rio de Janeiro/RJ – 03 de Novembro de 2010 Data Carving em Mídias e em Redes :: Ricardo Kléber
Ricardo Kléber ●  Professor do IFRN (Segurança de Redes) ●  Diretor de Regulação do Ensino (IFRN) ●  Professor da FARN (Especialização em Redes de Computadores) ●  Professor da Universidade Potiguar (Especialização em Computação Forense) ●  Professor da Uninorte/AC (Especialização em Computação Forense) ●  Bacharel em Ciências da Computação, Mestre em Engenharia Elétrica (Sistemas  Distribuídos) e Doutorando em Engenharia Elétrica (Sistemas Inteligentes) [UFRN] ●  Certificação Linux Conectiva e Brainbench ●  Colunista do Blog Seginfo ●  Membro do Comitê Técnico do Seginfo'2010 ●  Publicações/Apresentações no SSI, Seginfo, Iccyber, GTS/NicBR, Encsirt, FISL, Ensol,  Epsl e outros eventos nas áreas de Segurança da Informação e Software Livre Atividades Recentes ●  Ex­Security Officer da UFRN (Superintendência de Informática) ●  Fundador do CSIRT NARIS (Núcleo de Atendimento e Resposta a Incidentes de Segurança) da UFRN ●  Ex­Professor da UFRN (Sistemas Operacionais, Linguagens de Programação e Redes de Computadores) ●  Ex­Diretor de Redes do Detran/PE ●  Ex­Diretor de Ensino e Coordenador de TI do IFRN/Campus Currais Novos ●  Fundador do NUPETIS – Núcleo de Pesquisa em TI no Seridó ●  Consultoria e treinamentos em Segurança da Informação e Software Livre em provedores Internet,  empresas e órgãos governamentais do RN, PI, PE e AP.     Data Carving em Mídias e em Redes :: Ricardo Kléber
Identificando o Perfil do Público Quem atua/conhece a Área de  Computação Forense?     Data Carving em Mídias e em Redes :: Ricardo Kléber
Contextualizando... Análise Forense “A aplicação de princípios das ciências físicas ao direito  na busca da verdade em questões cíveis, criminais  e de comportamento social  para que não se cometam injustiças  contra qualquer membro da sociedade”  (Manual de Patologia Forense do Colégio de Patologistas Americanos, 1990). – Levantar evidências que contam a história do fato: • Quando? • Como? • Porque? • Onde? – Normas e Procedimentos     Data Carving em Mídias e em Redes :: Ricardo Kléber
Contextualizando... Análise Forense Computacional Principais Etapas • Aquisição • Identificação • Avaliação • Apresentação     Data Carving em Mídias e em Redes :: Ricardo Kléber
Contextualizando... Definição do Objeto da Perícia O que Coletar/Analisar ? • Mídias • Hds, pendrives, cds, dvds... • Dispositivos não convencionais • Câmeras digitais, óculos/relógios/pulseiras...  (com dispositivos de armazenamento). • Dados trafegando na rede • Em investigações de tráfego de informações • Também com equipamentos ligados • Dados em memória • Em análises com equipamentos ligados     Data Carving em Mídias e em Redes :: Ricardo Kléber
Contextualizando... Análise Forense Computacional Conceitos Importantes • Evidências  • Não­Voláteis x Voláteis • Tipos de Análise: • In Loco • Post mortem • Recuperação • Extração     Data Carving em Mídias e em Redes :: Ricardo Kléber
Contextualizando... Sistema de Arquivos ●  “conjunto de estruturas lógicas e de rotinas, que permitem ao  sistema operacional controlar o acesso ao disco rígido” ●  Sistemas de Arquivos padrões Windows: FAT16, FAT32, NTFS ●   Sistemas  de  Arquivos  padrões  Linux/Unix:  EXT2,  EXT3,  EXT4,  ReiserFS, XFS, JFS, ...   Data Carving (ou File Carving)  independe de sistema de arquivos     Data Carving em Mídias e em Redes :: Ricardo Kléber
Contextualizando... Magic Numbers / File Signatures ●   Funciona  como  uma  “assinatura”  do tipo de arquivo. ●   Método  de  identificação  de  arquivos  independente  de  sistema  operacional/sistema de arquivos. ●     Baseia­se  em  informações  inseridas/coletadas dentro de cada  arquivo  (cabeçalhos,  rodapés,  campos específicos)      Data Carving em Mídias e em Redes :: Ricardo Kléber
Data Carving (Visão Geral) “Data carving is the process of extracting  a collection of data from a larger data set.   Data carving techniques frequently occur during a digital investigation  when the unallocated file system space is analyzed to extract files. The files are "carved" from the unallocated space  using file type­specific header and footer values.  File system structures are not used during the process.” Digital Forensic Research Workshop (DFRWS) http://dfrws.org     Data Carving em Mídias e em Redes :: Ricardo Kléber
Demonstração Preparando a mídia (apagamento acidental !?)     Data Carving em Mídias e em Redes :: Ricardo Kléber
Carving (Extração) em Mídias Magicrescue ●  Concebido (inicialmente) para recuperação de imagens (fotos)  apagadas ●   Recupera  arquivos  específicos  (com  padrão  definido  em  base  específica) a partir de uma partição, para um diretório especificado. ● avi  canon­cr2  elf  flac  gimp­xcf  gpl  gzip  jpeg­exif  jpeg­jfif  mp3­ id3v1  mp3­id3v2  msoffice  nikon­raw  perl  png  ppm  zip • Debian­like (apt­get install magicrescue)     Data Carving em Mídias e em Redes :: Ricardo Kléber
Carving (Extração) em Mídias Magicrescue Funcionamento ●  Executar aplicativo com parâmetros específicos magicrescue -d diretorio_destino -r base_tipos /dev/device ● diretorio_destino :: Diretório onde será gravado o resultado ● base_tipos :: Base com padrão do tipo de arquivo buscado (/usr/share/magicrescue/recipes) ● /dev/device :: caminho do dispositivo analisado Exemplo: magicrescue -d /home/forense/analisar -r /usr/share/magicrescue/recipes/avi /dev/sda1     Data Carving em Mídias e em Redes :: Ricardo Kléber
Demonstração Data Carving com Magicrescue     Data Carving em Mídias e em Redes :: Ricardo Kléber
Carving (Extração) em Mídias Magicrescue / GRescue ●  GRescue = Interface Gráfica do Magicrescue (em desenvolvimento)     Data Carving em Mídias e em Redes :: Ricardo Kléber
Antes do Processo de Extração Coleta em Mídias ●  Ferramenta dd (ou evolução dela) • Linux (nativo em todas as principais distribuições) • Windows (http://www.chrysocome.net/dd)  dd if=origem of=destino • Ex.: Geração da Imagem (partição hda1 para arquivo imagem.dd): # dd if=/dev/hda1 of=imagem.dd     Data Carving em Mídias e em Redes :: Ricardo Kléber
Antes do Processo de Extração Coleta em Mídias •Apesar de ser a maneira mais simples e eficiente de realizar a duplicação, o  utilitário dd não oferece algumas funcionalidades importantes; • O dd_rescue serve para realizar aquisições de mídias com problemas (em  algumas situaçõe o dd é interrompido ao encontrar erros na mídia); •O sdd realiza aquisições mais rápido do que o dd, quando o tamanho de  bloco dos dispositivos de origem e destino são diferentes; • O rdd foi desenvolvido pelo Netherlands Forensic Institute (NFI) e sua  documentação indica que ele é bem mais robusto em relação a tratamento  de erros, divisão de arquivos (split) e hash.  •O dcfldd possui um log de toda a operação, faz divisão da imagem (split) e  permite verificar diretamente a integridade da operação através de vários  algoritmos de hash.      Data Carving em Mídias e em Redes :: Ricardo Kléber
Antes do Processo de Extração Coleta em Mídias • Opção sugerida para corrigir fragilidades do dd: dcfldd Exemplo de Utilização: dcfldd if=/dev/sda1 hash=md5,sha256 hashwindow=1G   md5log=md5.txt sha256log=sha256.txt hashconv=after   conv=noerror,sync split=1G splitformat=aa of=image.dd • noerror = não para caso encontre erros • sysc = se encontrar erro preenche com 0 (zero) • Tamanho máximo de cada arquivo = 1Gb • Nomes: image.dd.aa / image.dd.bb / ...     Data Carving em Mídias e em Redes :: Ricardo Kléber
Demonstração Duplicação de Dispositivo (Pendrive) com dcfldd     Data Carving em Mídias e em Redes :: Ricardo Kléber
Carving em Imagem de Mídia Magicrescue ●  Executar aplicativo com parâmetros específicos magicrescue -d diretorio_destino -r base_tipos imagem ● diretorio_destino :: Diretório onde será gravado o resultado ● base_tipos :: Base com padrão do tipo de arquivo buscado (/usr/share/magicrescue/recipes) ● imagem :: imagem do dispositivo analisado Exemplo: magicrescue -d /home/forense/analisar -r /usr/share/magicrescue/recipes/avi pendrive.dd     Data Carving em Mídias e em Redes :: Ricardo Kléber
Demonstração Data Carving com Magicrescue (a partir de uma imagem de dispositivo)     Data Carving em Mídias e em Redes :: Ricardo Kléber
Carving em Imagem de Mídia Foremost ●  Rápido, fácil e robusto: foremost • Debian­like (apt­get install foremost) foremost ­t <tipo1,tipo2,...> ­i <imagem> ­o <destino> • Tipos de arquivos reconhecidos: jpg, gif, png, bmp, avi, exe, mpg,  wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cpp, ... • Para todos os tipos de arquivos: -t all Ex.: foremost pendrive.dd ­o diretorio_destino     Data Carving em Mídias e em Redes :: Ricardo Kléber
Demonstração Data Carving com Foremost (a partir de uma imagem de dispositivo)     Data Carving em Mídias e em Redes :: Ricardo Kléber
Carving em Imagem de Mídia Scalpel ●  Semelhante ao foremost: scalpel • Debian­like (apt­get install scalpel) scalpel <imagem> ­o <destino> • Por padrão, todos os tipos de arquivos no banco de dados  (/etc/scalpel/scalpel.conf) estão comentados (não gera  resultados se não for alterado) • Para especificar quais tipos de arquivos se deseja extrair, é preciso  editar o arquivo e descomentar as linhas desejadas.  Ex.: scalpel pendrive.dd ­o diretorio_destino     Data Carving em Mídias e em Redes :: Ricardo Kléber
Demonstração Data Carving com Scalpel (a partir de uma imagem de dispositivo)     Data Carving em Mídias e em Redes :: Ricardo Kléber
E se o alvo/objeto for Tráfego de Redes? Capturar tráfego e realizar o realizar a Extração (com ferramentas apropriadas)     Data Carving em Mídias e em Redes :: Ricardo Kléber
Antes do Processo de Extração Coleta em Redes ●  Interface em modo monitor ("promíscuo") = Sniffer LibPcap + TcpDump WinPcap + WinDump     Data Carving em Mídias e em Redes :: Ricardo Kléber
Antes do Processo de Extração Coleta em Redes Captura de Tráfego Específico :: Tcpdump ● tcpdump ­i <interface> port <porta/serviço> ­w <arquivo_captura> ● Tráfego de E­mails: port [porta] ● SMTP: [porta] = 25 src [origem] dst [destino] ● POP3: [porta] = 110 ● Tráfego Web: [porta] = 80 tcpdump ­X ­vvv ­i eth0 ­s 1518 ­n port 80 ­w coleta.cap     Data Carving em Mídias e em Redes :: Ricardo Kléber
Antes do Processo de Extração Coleta em Redes (Modo Gráfico: Ethereal/Wireshark) http://www.wireshark.org     Data Carving em Mídias e em Redes :: Ricardo Kléber
Antes do Processo de Extração Coleta em Redes (Modo Gráfico: Ethereal/Wireshark)     Data Carving em Mídias e em Redes :: Ricardo Kléber
Carving em Imagem de Tráfego de Redes Tcpxtract ●   Extrai arquivos (file carving) de tráfego de redes baseado em  assinaturas/padrões de arquivos. ●  Pode ser usado diretamente capturando/analisando o tráfego  de  uma  rede  ou  analisando  um  arquivo  .CAP  (formato  tcpdump) ● tcpxtract -d /dev/device -o diretorio_destino ● tcpxtract -f arquivo_cap -o diretorio_destino # tcpdump -X -vvv -n -s 1518 -i eth0 tcp port 80 -w http.cap # tcpxtract -f http.cap -o examinar # nautilus examinar     Data Carving em Mídias e em Redes :: Ricardo Kléber
Demonstração Data Carving com Tcpxtrace (a partir de captura de tráfego de rede)     Data Carving em Mídias e em Redes :: Ricardo Kléber
Carving em Imagem de Tráfego de Redes Chaosreader ●  Semelhante ao tcpxtract ●  Maior nível de detalhes sobre tráfegos (origem/destino) ●  Gera relatório HTML (mais adequado para laudos) ●  Relatório sumarizado por protocolos capturados/identificados ●  Analisa arquivo .CAP (formato tcpdump) ● chaosreader arquivo_cap -D diretorio_destino # tcpdump -X -vvv -n -s 1518 -i eth0 tcp port 80 -w http.cap # chaosreader http.cap -D examinar # firefox index.html     Data Carving em Mídias e em Redes :: Ricardo Kléber
Demonstração Data Carving com Chaosreader (a partir de captura de tráfego de rede)     Data Carving em Mídias e em Redes :: Ricardo Kléber
E a Plataforma Windows???     Data Carving em Mídias e em Redes :: Ricardo Kléber
E a Plataforma Windows??? ●  Existem ferramentas comerciais (inclusive mais fáceis de utilizar)  baseadas  no  sistema  operacional  Windows,  mas  esse  não  foi  o  foco desta apresentação.  ●  Sugestão = Netwitness www.netwitness.com ● Investigator (freeware) ● Visualize ($$$$$)     Data Carving em Mídias e em Redes :: Ricardo Kléber
Netwitness Investigator     Data Carving em Mídias e em Redes :: Ricardo Kléber
Netwitness Investigator     Data Carving em Mídias e em Redes :: Ricardo Kléber
Netwitness Analysis     Data Carving em Mídias e em Redes :: Ricardo Kléber
Netwitness Visualize     Data Carving em Mídias e em Redes :: Ricardo Kléber
“Resposta” Open Source www.xplico.org     Data Carving em Mídias e em Redes :: Ricardo Kléber
Considerações Finais ●  Diversidade (e robustez) de softwares livres para Data Carving; ●  A homologação de ferramentas para o uso pericial passa pela  abertura do código (para validação); ●  Se você não é (nem pretende ser) perito em informática, pelo  menos  espero  que  saiba  recuperar  seus  arquivos  apagados  acidentalmente :)      Data Carving em Mídias e em Redes :: Ricardo Kléber
Perguntas     Data Carving em Mídias e em Redes :: Ricardo Kléber
Para saber mais... ●  (DFRWS) Digital Forensic Research Workshop. (http://dfrws.org) ●  Princeton University, (2008). Lest We Remember: Cold Boot Attacks on Encryption Keys.  Center for Information Technology Policy (http://citp.princeton.edu/memory/) ●   Mikus,  N.  (2005).  An  Analysis  of  Disc  Carving  Techniques  [Tese  de  Mestrado]  (http://handle.dtic.mil/100.2/ADA432468) ●   Kessler,  Gary  C.  (10/2/2008).  File  Signature  Table.  (http://www.garykessler.net/ library/file_sigs.html) ●  Carrier, Brian (2005). File System Forensic Analysis. Addison Wesley. ●  Garfinkel, Simson File Carving. (http://www.forensicswiki.org/wiki/Carving)     Data Carving em Mídias e em Redes :: Ricardo Kléber

Recommandé

Acquisizione forense di dispositivi iOS
Acquisizione forense di dispositivi iOSAcquisizione forense di dispositivi iOS
Acquisizione forense di dispositivi iOS
Reality Net System Solutions
 
IT Pillars Profile
IT Pillars ProfileIT Pillars Profile
IT Pillars Profile
IT Pillars
 
Guia implantacion de lopd
Guia implantacion de lopdGuia implantacion de lopd
Guia implantacion de lopd
dosn
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
Ahmed Riad .
 
Android– forensics and security testing
Android– forensics and security testingAndroid– forensics and security testing
Android– forensics and security testing
Santhosh Kumar
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and Challenges
Certification Europe
 
Data Protection and Privacy
Data Protection and PrivacyData Protection and Privacy
Data Protection and Privacy
Vertex Holdings
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 

Recommandé

Acquisizione forense di dispositivi iOS
Acquisizione forense di dispositivi iOSAcquisizione forense di dispositivi iOS
Acquisizione forense di dispositivi iOS
Reality Net System Solutions
 
IT Pillars Profile
IT Pillars ProfileIT Pillars Profile
IT Pillars Profile
IT Pillars
 
Guia implantacion de lopd
Guia implantacion de lopdGuia implantacion de lopd
Guia implantacion de lopd
dosn
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
Ahmed Riad .
 
Android– forensics and security testing
Android– forensics and security testingAndroid– forensics and security testing
Android– forensics and security testing
Santhosh Kumar
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and Challenges
Certification Europe
 
Data Protection and Privacy
Data Protection and PrivacyData Protection and Privacy
Data Protection and Privacy
Vertex Holdings
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 
Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...
Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...
Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...
MilliporeSigma
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
Fernando Palma
 
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentesCiberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Luis Joyanes
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018
Goutama Bachtiar
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By Design
Douglas Siviotti
 
Como instalar e o que é Debian
Como instalar e o que é DebianComo instalar e o que é Debian
Como instalar e o que é Debian
linuxInfo
 
1 o hacker profissional
1 o hacker profissional1 o hacker profissional
1 o hacker profissional
john luys
 
Instalando debian gnu linux 2.2 para intel x86
Instalando debian gnu linux 2.2 para intel x86Instalando debian gnu linux 2.2 para intel x86
Instalando debian gnu linux 2.2 para intel x86
Alvaro Gomes
 
Manutenção preventiva m+ limpeza interna
Manutenção preventiva m+ limpeza internaManutenção preventiva m+ limpeza interna
Manutenção preventiva m+ limpeza interna
FBTEC-INFO
 
Hackers Trablho PGWD ESAD Porto
Hackers Trablho PGWD ESAD PortoHackers Trablho PGWD ESAD Porto
Hackers Trablho PGWD ESAD Porto
nelson silva
 
Programação em bat
Programação em batProgramação em bat
Programação em bat
hackernoob
 
Vírus e Antívirus
Vírus e AntívirusVírus e Antívirus
Vírus e Antívirus
Pmpc10
 
Comandos ms-dos - Atualizado 29/10/2014
Comandos ms-dos - Atualizado 29/10/2014Comandos ms-dos - Atualizado 29/10/2014
Comandos ms-dos - Atualizado 29/10/2014
Evandro Júnior
 
Vírus De Computador
Vírus De ComputadorVírus De Computador
Vírus De Computador
Anderson Viana
 
Malware
MalwareMalware
Malware
txlopez
 
Ehtical Hacking
Ehtical HackingEhtical Hacking
Ehtical Hacking
Luiz Thiago
 
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
Nuno Duarte
 
Cmd e Bat
Cmd e BatCmd e Bat
Cmd e Bat
Márcio Ramos
 
O que é Vírus e Antivírus
O que é Vírus e Antivírus O que é Vírus e Antivírus
O que é Vírus e Antivírus
Pet Cursos - Itatiba
 
Principais Vírus de Computador
Principais Vírus de ComputadorPrincipais Vírus de Computador
Principais Vírus de Computador
Fatinha de Sousa
 
Apresentação do MS-DOS
Apresentação do MS-DOSApresentação do MS-DOS
Apresentação do MS-DOS
Clayton de Almeida Souza
 

Contenu connexe

Tendances

Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...
Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...
Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...
MilliporeSigma
 
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentesCiberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Luis Joyanes
 

Tendances (6)

Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...
Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...
Risk-based Approach to evaluate Nitrosamines and Elemental Impurities from Si...
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentesCiberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By Design
 

En vedette

1 o hacker profissional
1 o hacker profissional1 o hacker profissional
1 o hacker profissional
john luys
 
Programação em bat
Programação em batProgramação em bat
Programação em bat
hackernoob
 
Vírus e Antívirus
Vírus e AntívirusVírus e Antívirus
Vírus e Antívirus
Pmpc10
 
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
Nuno Duarte
 
Origem e história dos vírus informáticos
Origem e história dos vírus informáticosOrigem e história dos vírus informáticos
Origem e história dos vírus informáticos
lisa198
 
Tipos de vírus e os seus efeitos no
Tipos de vírus e os seus efeitos noTipos de vírus e os seus efeitos no
Tipos de vírus e os seus efeitos no
cila_
 
I seminario de_iniciacao_hacker
I seminario de_iniciacao_hackerI seminario de_iniciacao_hacker
I seminario de_iniciacao_hacker
ponto hacker
 

En vedette (20)

Como instalar e o que é Debian
Como instalar e o que é DebianComo instalar e o que é Debian
Como instalar e o que é Debian
 
1 o hacker profissional
1 o hacker profissional1 o hacker profissional
1 o hacker profissional
 
Instalando debian gnu linux 2.2 para intel x86
Instalando debian gnu linux 2.2 para intel x86Instalando debian gnu linux 2.2 para intel x86
Instalando debian gnu linux 2.2 para intel x86
 
Manutenção preventiva m+ limpeza interna
Manutenção preventiva m+ limpeza internaManutenção preventiva m+ limpeza interna
Manutenção preventiva m+ limpeza interna
 
Hackers Trablho PGWD ESAD Porto
Hackers Trablho PGWD ESAD PortoHackers Trablho PGWD ESAD Porto
Hackers Trablho PGWD ESAD Porto
 
Programação em bat
Programação em batProgramação em bat
Programação em bat
 
Vírus e Antívirus
Vírus e AntívirusVírus e Antívirus
Vírus e Antívirus
 
Comandos ms-dos - Atualizado 29/10/2014
Comandos ms-dos - Atualizado 29/10/2014Comandos ms-dos - Atualizado 29/10/2014
Comandos ms-dos - Atualizado 29/10/2014
 
Vírus De Computador
Vírus De ComputadorVírus De Computador
Vírus De Computador
 
Malware
MalwareMalware
Malware
 
Ehtical Hacking
Ehtical HackingEhtical Hacking
Ehtical Hacking
 
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
 
Cmd e Bat
Cmd e BatCmd e Bat
Cmd e Bat
 
O que é Vírus e Antivírus
O que é Vírus e Antivírus O que é Vírus e Antivírus
O que é Vírus e Antivírus
 
Principais Vírus de Computador
Principais Vírus de ComputadorPrincipais Vírus de Computador
Principais Vírus de Computador
 
Apresentação do MS-DOS
Apresentação do MS-DOSApresentação do MS-DOS
Apresentação do MS-DOS
 
Origem e história dos vírus informáticos
Origem e história dos vírus informáticosOrigem e história dos vírus informáticos
Origem e história dos vírus informáticos
 
Tipos de vírus e os seus efeitos no
Tipos de vírus e os seus efeitos noTipos de vírus e os seus efeitos no
Tipos de vírus e os seus efeitos no
 
Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)
Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)
Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)
 
I seminario de_iniciacao_hacker
I seminario de_iniciacao_hackerI seminario de_iniciacao_hacker
I seminario de_iniciacao_hacker
 

Similaire à V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”

Arquivos digitais formação
Arquivos digitais formaçãoArquivos digitais formação
Arquivos digitais formação
Marta Antunes
 
Visualização de dados
Visualização de dadosVisualização de dados
Visualização de dados
lrmodesto
 

Similaire à V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes” (20)

Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
 
Android forensics the hard work
Android forensics the hard workAndroid forensics the hard work
Android forensics the hard work
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
 
012 computacao forense
012 computacao forense012 computacao forense
012 computacao forense
 
Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdf
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
 
Apresentação Cariniana 2013
Apresentação Cariniana 2013Apresentação Cariniana 2013
Apresentação Cariniana 2013
 
Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]
 
Minicurso de mineração de dados
Minicurso de mineração de dadosMinicurso de mineração de dados
Minicurso de mineração de dados
 
Arquivos digitais formação
Arquivos digitais formaçãoArquivos digitais formação
Arquivos digitais formação
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de Arquivos
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de Arquivos
 
Visualização de dados
Visualização de dadosVisualização de dados
Visualização de dados
 
Big data e mineração de dados
Big data e mineração de dadosBig data e mineração de dados
Big data e mineração de dados
 
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
 
Big Data Analytics
Big Data AnalyticsBig Data Analytics
Big Data Analytics
 
Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drc
 

Plus de Clavis Segurança da Informação

Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
Clavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Clavis Segurança da Informação
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
Clavis Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Clavis Segurança da Informação
 

Plus de Clavis Segurança da Informação (20)

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 

V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”

  • 1. Data Carving em Mídias e em Redes Ricardo Kléber Martins Galvão www.ricardokleber.com.br  ricardo.galvao@ifrn.edu.br     Rio de Janeiro/RJ – 03 de Novembro de 2010 Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 2. Ricardo Kléber ●  Professor do IFRN (Segurança de Redes) ●  Diretor de Regulação do Ensino (IFRN) ●  Professor da FARN (Especialização em Redes de Computadores) ●  Professor da Universidade Potiguar (Especialização em Computação Forense) ●  Professor da Uninorte/AC (Especialização em Computação Forense) ●  Bacharel em Ciências da Computação, Mestre em Engenharia Elétrica (Sistemas  Distribuídos) e Doutorando em Engenharia Elétrica (Sistemas Inteligentes) [UFRN] ●  Certificação Linux Conectiva e Brainbench ●  Colunista do Blog Seginfo ●  Membro do Comitê Técnico do Seginfo'2010 ●  Publicações/Apresentações no SSI, Seginfo, Iccyber, GTS/NicBR, Encsirt, FISL, Ensol,  Epsl e outros eventos nas áreas de Segurança da Informação e Software Livre Atividades Recentes ●  Ex­Security Officer da UFRN (Superintendência de Informática) ●  Fundador do CSIRT NARIS (Núcleo de Atendimento e Resposta a Incidentes de Segurança) da UFRN ●  Ex­Professor da UFRN (Sistemas Operacionais, Linguagens de Programação e Redes de Computadores) ●  Ex­Diretor de Redes do Detran/PE ●  Ex­Diretor de Ensino e Coordenador de TI do IFRN/Campus Currais Novos ●  Fundador do NUPETIS – Núcleo de Pesquisa em TI no Seridó ●  Consultoria e treinamentos em Segurança da Informação e Software Livre em provedores Internet,  empresas e órgãos governamentais do RN, PI, PE e AP.     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 3. Identificando o Perfil do Público Quem atua/conhece a Área de  Computação Forense?     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 4. Contextualizando... Análise Forense “A aplicação de princípios das ciências físicas ao direito  na busca da verdade em questões cíveis, criminais  e de comportamento social  para que não se cometam injustiças  contra qualquer membro da sociedade”  (Manual de Patologia Forense do Colégio de Patologistas Americanos, 1990). – Levantar evidências que contam a história do fato: • Quando? • Como? • Porque? • Onde? – Normas e Procedimentos     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 5. Contextualizando... Análise Forense Computacional Principais Etapas • Aquisição • Identificação • Avaliação • Apresentação     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 6. Contextualizando... Definição do Objeto da Perícia O que Coletar/Analisar ? • Mídias • Hds, pendrives, cds, dvds... • Dispositivos não convencionais • Câmeras digitais, óculos/relógios/pulseiras...  (com dispositivos de armazenamento). • Dados trafegando na rede • Em investigações de tráfego de informações • Também com equipamentos ligados • Dados em memória • Em análises com equipamentos ligados     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 7. Contextualizando... Análise Forense Computacional Conceitos Importantes • Evidências  • Não­Voláteis x Voláteis • Tipos de Análise: • In Loco • Post mortem • Recuperação • Extração     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 8. Contextualizando... Sistema de Arquivos ●  “conjunto de estruturas lógicas e de rotinas, que permitem ao  sistema operacional controlar o acesso ao disco rígido” ●  Sistemas de Arquivos padrões Windows: FAT16, FAT32, NTFS ●   Sistemas  de  Arquivos  padrões  Linux/Unix:  EXT2,  EXT3,  EXT4,  ReiserFS, XFS, JFS, ...   Data Carving (ou File Carving)  independe de sistema de arquivos     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 9. Contextualizando... Magic Numbers / File Signatures ●   Funciona  como  uma  “assinatura”  do tipo de arquivo. ●   Método  de  identificação  de  arquivos  independente  de  sistema  operacional/sistema de arquivos. ●     Baseia­se  em  informações  inseridas/coletadas dentro de cada  arquivo  (cabeçalhos,  rodapés,  campos específicos)      Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 10. Data Carving (Visão Geral) “Data carving is the process of extracting  a collection of data from a larger data set.   Data carving techniques frequently occur during a digital investigation  when the unallocated file system space is analyzed to extract files. The files are "carved" from the unallocated space  using file type­specific header and footer values.  File system structures are not used during the process.” Digital Forensic Research Workshop (DFRWS) http://dfrws.org     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 11. Demonstração Preparando a mídia (apagamento acidental !?)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 12. Carving (Extração) em Mídias Magicrescue ●  Concebido (inicialmente) para recuperação de imagens (fotos)  apagadas ●   Recupera  arquivos  específicos  (com  padrão  definido  em  base  específica) a partir de uma partição, para um diretório especificado. ● avi  canon­cr2  elf  flac  gimp­xcf  gpl  gzip  jpeg­exif  jpeg­jfif  mp3­ id3v1  mp3­id3v2  msoffice  nikon­raw  perl  png  ppm  zip • Debian­like (apt­get install magicrescue)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 13. Carving (Extração) em Mídias Magicrescue Funcionamento ●  Executar aplicativo com parâmetros específicos magicrescue -d diretorio_destino -r base_tipos /dev/device ● diretorio_destino :: Diretório onde será gravado o resultado ● base_tipos :: Base com padrão do tipo de arquivo buscado (/usr/share/magicrescue/recipes) ● /dev/device :: caminho do dispositivo analisado Exemplo: magicrescue -d /home/forense/analisar -r /usr/share/magicrescue/recipes/avi /dev/sda1     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 14. Demonstração Data Carving com Magicrescue     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 15. Carving (Extração) em Mídias Magicrescue / GRescue ●  GRescue = Interface Gráfica do Magicrescue (em desenvolvimento)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 16. Antes do Processo de Extração Coleta em Mídias ●  Ferramenta dd (ou evolução dela) • Linux (nativo em todas as principais distribuições) • Windows (http://www.chrysocome.net/dd)  dd if=origem of=destino • Ex.: Geração da Imagem (partição hda1 para arquivo imagem.dd): # dd if=/dev/hda1 of=imagem.dd     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 17. Antes do Processo de Extração Coleta em Mídias •Apesar de ser a maneira mais simples e eficiente de realizar a duplicação, o  utilitário dd não oferece algumas funcionalidades importantes; • O dd_rescue serve para realizar aquisições de mídias com problemas (em  algumas situaçõe o dd é interrompido ao encontrar erros na mídia); •O sdd realiza aquisições mais rápido do que o dd, quando o tamanho de  bloco dos dispositivos de origem e destino são diferentes; • O rdd foi desenvolvido pelo Netherlands Forensic Institute (NFI) e sua  documentação indica que ele é bem mais robusto em relação a tratamento  de erros, divisão de arquivos (split) e hash.  •O dcfldd possui um log de toda a operação, faz divisão da imagem (split) e  permite verificar diretamente a integridade da operação através de vários  algoritmos de hash.      Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 18. Antes do Processo de Extração Coleta em Mídias • Opção sugerida para corrigir fragilidades do dd: dcfldd Exemplo de Utilização: dcfldd if=/dev/sda1 hash=md5,sha256 hashwindow=1G   md5log=md5.txt sha256log=sha256.txt hashconv=after   conv=noerror,sync split=1G splitformat=aa of=image.dd • noerror = não para caso encontre erros • sysc = se encontrar erro preenche com 0 (zero) • Tamanho máximo de cada arquivo = 1Gb • Nomes: image.dd.aa / image.dd.bb / ...     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 19. Demonstração Duplicação de Dispositivo (Pendrive) com dcfldd     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 20. Carving em Imagem de Mídia Magicrescue ●  Executar aplicativo com parâmetros específicos magicrescue -d diretorio_destino -r base_tipos imagem ● diretorio_destino :: Diretório onde será gravado o resultado ● base_tipos :: Base com padrão do tipo de arquivo buscado (/usr/share/magicrescue/recipes) ● imagem :: imagem do dispositivo analisado Exemplo: magicrescue -d /home/forense/analisar -r /usr/share/magicrescue/recipes/avi pendrive.dd     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 21. Demonstração Data Carving com Magicrescue (a partir de uma imagem de dispositivo)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 22. Carving em Imagem de Mídia Foremost ●  Rápido, fácil e robusto: foremost • Debian­like (apt­get install foremost) foremost ­t <tipo1,tipo2,...> ­i <imagem> ­o <destino> • Tipos de arquivos reconhecidos: jpg, gif, png, bmp, avi, exe, mpg,  wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cpp, ... • Para todos os tipos de arquivos: -t all Ex.: foremost pendrive.dd ­o diretorio_destino     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 23. Demonstração Data Carving com Foremost (a partir de uma imagem de dispositivo)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 24. Carving em Imagem de Mídia Scalpel ●  Semelhante ao foremost: scalpel • Debian­like (apt­get install scalpel) scalpel <imagem> ­o <destino> • Por padrão, todos os tipos de arquivos no banco de dados  (/etc/scalpel/scalpel.conf) estão comentados (não gera  resultados se não for alterado) • Para especificar quais tipos de arquivos se deseja extrair, é preciso  editar o arquivo e descomentar as linhas desejadas.  Ex.: scalpel pendrive.dd ­o diretorio_destino     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 25. Demonstração Data Carving com Scalpel (a partir de uma imagem de dispositivo)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 26. E se o alvo/objeto for Tráfego de Redes? Capturar tráfego e realizar o realizar a Extração (com ferramentas apropriadas)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 27. Antes do Processo de Extração Coleta em Redes ●  Interface em modo monitor ("promíscuo") = Sniffer LibPcap + TcpDump WinPcap + WinDump     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 28. Antes do Processo de Extração Coleta em Redes Captura de Tráfego Específico :: Tcpdump ● tcpdump ­i <interface> port <porta/serviço> ­w <arquivo_captura> ● Tráfego de E­mails: port [porta] ● SMTP: [porta] = 25 src [origem] dst [destino] ● POP3: [porta] = 110 ● Tráfego Web: [porta] = 80 tcpdump ­X ­vvv ­i eth0 ­s 1518 ­n port 80 ­w coleta.cap     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 29. Antes do Processo de Extração Coleta em Redes (Modo Gráfico: Ethereal/Wireshark) http://www.wireshark.org     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 30. Antes do Processo de Extração Coleta em Redes (Modo Gráfico: Ethereal/Wireshark)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 31. Carving em Imagem de Tráfego de Redes Tcpxtract ●   Extrai arquivos (file carving) de tráfego de redes baseado em  assinaturas/padrões de arquivos. ●  Pode ser usado diretamente capturando/analisando o tráfego  de  uma  rede  ou  analisando  um  arquivo  .CAP  (formato  tcpdump) ● tcpxtract -d /dev/device -o diretorio_destino ● tcpxtract -f arquivo_cap -o diretorio_destino # tcpdump -X -vvv -n -s 1518 -i eth0 tcp port 80 -w http.cap # tcpxtract -f http.cap -o examinar # nautilus examinar     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 32. Demonstração Data Carving com Tcpxtrace (a partir de captura de tráfego de rede)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 33. Carving em Imagem de Tráfego de Redes Chaosreader ●  Semelhante ao tcpxtract ●  Maior nível de detalhes sobre tráfegos (origem/destino) ●  Gera relatório HTML (mais adequado para laudos) ●  Relatório sumarizado por protocolos capturados/identificados ●  Analisa arquivo .CAP (formato tcpdump) ● chaosreader arquivo_cap -D diretorio_destino # tcpdump -X -vvv -n -s 1518 -i eth0 tcp port 80 -w http.cap # chaosreader http.cap -D examinar # firefox index.html     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 34. Demonstração Data Carving com Chaosreader (a partir de captura de tráfego de rede)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 35. E a Plataforma Windows???     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 36. E a Plataforma Windows??? ●  Existem ferramentas comerciais (inclusive mais fáceis de utilizar)  baseadas  no  sistema  operacional  Windows,  mas  esse  não  foi  o  foco desta apresentação.  ●  Sugestão = Netwitness www.netwitness.com ● Investigator (freeware) ● Visualize ($$$$$)     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 37. Netwitness Investigator     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 38. Netwitness Investigator     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 39. Netwitness Analysis     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 40. Netwitness Visualize     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 41. “Resposta” Open Source www.xplico.org     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 42. Considerações Finais ●  Diversidade (e robustez) de softwares livres para Data Carving; ●  A homologação de ferramentas para o uso pericial passa pela  abertura do código (para validação); ●  Se você não é (nem pretende ser) perito em informática, pelo  menos  espero  que  saiba  recuperar  seus  arquivos  apagados  acidentalmente :)      Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 43. Perguntas     Data Carving em Mídias e em Redes :: Ricardo Kléber
  • 44. Para saber mais... ●  (DFRWS) Digital Forensic Research Workshop. (http://dfrws.org) ●  Princeton University, (2008). Lest We Remember: Cold Boot Attacks on Encryption Keys.  Center for Information Technology Policy (http://citp.princeton.edu/memory/) ●   Mikus,  N.  (2005).  An  Analysis  of  Disc  Carving  Techniques  [Tese  de  Mestrado]  (http://handle.dtic.mil/100.2/ADA432468) ●   Kessler,  Gary  C.  (10/2/2008).  File  Signature  Table.  (http://www.garykessler.net/ library/file_sigs.html) ●  Carrier, Brian (2005). File System Forensic Analysis. Addison Wesley. ●  Garfinkel, Simson File Carving. (http://www.forensicswiki.org/wiki/Carving)     Data Carving em Mídias e em Redes :: Ricardo Kléber