Aula 07 - Professor Diovani

Report
PERÍCIA EM
INFORMÁTICA
Aula 07 – Principais desafios em exames forenses em
dispositivos de armazenamento computacional
Curso de Sistemas de Informação.
Prof. Diovani Milhorim
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Durante a perícia em dispositivos de armazenamento
algumas dificuldades podem ser enfretadas pelo técnico,
tais como:
• Quantidade de arquivos analisados.
• Existência de senhas
• Engenharia reversa
• Criptografia
• Esteganografia
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Quantidade de arquivos analisados.
Um sistema operacional moderno pode ter até mais
de um milhão de arquivos. Como localizar as evidências
requisitadas?
•
•
•
Uso de filtros (KFF, autopsya, etc...
Busca por palavras chaves
Requisitos bem definidos (saber o que se procura)
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• É comum se encontrar arquivos protegidos por senhas( zip, pdf,
word, etc...). Neste caso será necessários se “quebrar” a senha
por meio de técnicas específicas, tais como:
•
•
•
•
Ataque de força bruta
Ataque de dicionário
Utilização de rainbow tables
Engenharia social
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Ataque de força bruta
Descoberta de senha por método de tentativa e erro, em que todas as
combinações de um domínio predefinidos são testadas até que se acerte
a senha.
Dominio: parâmetros para composição de candidatos a senha.
Ex:
número de caracteres
Maiúsculas e minúsculas
Uso de caracteres especiais.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Ataque de força bruta
Demanda muito esforço computacional e pode demorar muito tempo.
O uso de softwares especiais para a tarefa é necessário. Ex:
•
•
•
•
•
•
•
Passware kit enterprise
Password recovery bundle
AdvancedZip Password recovery
AdvancedRar Password recovery
Advanced Pdf password recovery
Password recovery kit
Ophcrack (recuperar senhas de sistemas op. Microsoft)
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Ataque de dicionário
Outro método de tentativa e erro, mas diferente do método de força bruta
o domínio de senhas é constituído de palavras prontas. Tais palavras são
armazenadas em uma lista chamada de “dicionário”.
Geralmente são mais eficientes do que o ataque de força bruta desde
que o dicionário utilizado seja adequado.
Uma boa proposta é gerar o dicionário com palavras extraidas do
dispositivo analisado.
O FTK possui dicionários que podem ser baixados da internet.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Engenharia social:
Consiste em descobrir a senha de arquivos e sistemas a partir de
entrevistas com as pessoas envolvidas no caso.
• Em alguns casos pergunte a senha.
• Em caso de senhas de softwares utilize senhas default de fabricantes.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Existência de senhas
• Rainbow tables:
Softwares que se utilizam de tabelas de hash pré compiladas. Tratase de um método de tentativa e erro para senhas que se utilizam de
hash para encobrir seu conteúdo. Onde achar:
• Freerainbowtables.com
• Rainbowtables.shmoo.com
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Engenharia reversa e alteração de código fonte
Engenharia reversa.
“Processo que consiste basicamente em analisar um programa, a fim
de criar uma representação de alto nível, ou seja, recuperar um
projeto de software para que ele possa ser entendido.”
Pressman(2006)
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Engenharia reversa e alteração de código fonte
Engenharia reversa.
Consiste em analisar arquivos executáveis de um programa,
alterando seu código, com o objetivo de suprimir a necessidade de
senha para acesso a este programa.
Processo muito técnico e minucioso que exige conhecimentos
específicos do perito.
Uso de softwares especializados geralmente é necessário.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Criptografia
Criptografia é uma técnica utilizada para transformar uma informação
na sua forma original para outra ilegível.
Algoritmos complexos são estudados e inventados a fim de proteger
as informações e dificultar o processo inverso.
Cabe ao perito vasculhar o dispositivo de armazenamento a fim de
localizar algum software de criptografia.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Esteganografia
• Técnica que consiste de ocultar uma mensagem dentro de
outra.
• Enquanto a criptografia tenta codificar o conteúdo, a
esteganografia tenta “camuflar a mensagem”.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Esteganografia
• Exemplo: técnica extremamente simples de esteganofria.
Frase: Onde um ritmo ouve sinos
Primeira letra de cada palavra: OUROS
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Esteganografia
• É comum o uso de esteganografia com criptografia,
gerando mensagens de decodificação extremamente
difícil.
• O primeiro passo na decodificação é descobrir os métodos
utilizados.
Exames em dispositivos de armazenamento
• Exames em dispositivos de armazenamento.
• Prática:
• Uso do Passware Kit enterprise.

similar documents