RoadShow de Ferramentas de Forense Digital - SP, RJ e DF

[ Update: 25/04/2011 ]

Após várias confirmações, o evento irá acontecer a partir de amanhã, manterei vocês atualizados!

[ Post original: 14/04/2011 ]

No final deste mês, a Techbiz Forense Digital realizará um Roadshow com alguns de seus principais produtos de Forense Computacional. O evento - que é gratuito e tem vagas limitadas - acontecerá nos dias 26, 27 e 28 de abril e 3, 4 e 5 de maio - de forma concomitante em São Paulo, Rio de Janeiro e Brasília, (das 15 as 17 horas).

Clientes terão a oportunidade de ter contato direto com tecnologias de resposta a incidentes e forense computacional de ponta, premiadas mundialmente, distribuídas e integradas pela Techbiz Forense no Brasil.

Os seguintes fabricantes estarão presentes: AccessData, Guidance Software, Arcsight, NetWitness, iDefense e Palantir.

Para mais informações, confira o convite oficial do evento: http://forensedigital.com.br/road-show-ferramentas/

IPhone e IPad guardam detalhes de localização #Privacidade #AppleGate #iOS #iPhoneTracker

Má "notícia" para a privacidade de usuários de dispositivos com o iOS (iPhones e iPads). Há pelo menos um ano seu gadget guarda automaticamente informações de localização sem sua permissão explícita do usuário (basta clicar em aceitar contribuir com "informações anônimas de uso para melhoria da qualidade do software" - o que a maior parte dos usuários acaba fazendo..)

A boa notícia sob o ponto de vista da investigação autorizada é que a informação chama atenção para a importância de se recuperar as várias informações presentes em dispositivos móveis, com ferramentas especializadas de Forense de dispositivos móveis (além obviamente dos dados presentes no iTunes de máquinas apreendidas rodando Windows ou Mac, veja abaixo o iPhoneTracker).

Atualmente nós da Techbiz Forense trabalhamos com 2 fabricantes de Mobile Forensics (estamos no momento testando em laboratório as funcionalidades de um terceiro player):

Cellebrite - UFED (US)
MicroSystemation - XRY (Suécia)

Vamos aos detalhamentos da história:

Notícia da "descoberta" "Iphone Location Fiasco":
http://radar.oreilly.com/2011/04/apple-location-tracking.html

#Caminho do .db sqlite3 contendo - muita - informação de localização (latitude,longitude) do usuário:
Library/Caches/locationd/consolidated.db

#Ferramenta para checar o seu dispositivo: (Para rodar na máquina MacOSX que roda o iTunes)
#Tool
http://petewarden.github.com/iPhoneTracker

#Ports para Linux/Cygwin e Windows

#ScreenShot da ferramenta:
http://radar.oreilly.com/assets_c/2011/04/DC%20and%20NY.html

#Melhor recomendação de contramedidas até o momento:
http://singe.za.net/blog/archives/1029-Quick-note-on-the-iPhone-Location-Tracking-Disclosure.html (@singe)

#Untrackerd: Aplicação para evitar o registro - para dispositivos desbloqueados (jailbroken):

http://thenextweb.com/apple/2011/04/21/worried-about-iphone-tracking-jailbreak-utility-untrackerd-will-fix-that-for-you/

#Como desabilitar o registro de localidades em um Iphone bloqueado:

http://seclists.org/fulldisclosure/2011/Apr/408

#Pontos levantados por Alex Levison (Perito Forense co-autor do livro iOS Forensic Analysis (review)

https://alexlevinson.wordpress.com/2011/04/21/3-major-issues-with-the-latest-iphone-tracking-discovery/ (@alexlevinson)

1) o dado existe, mas não há evidências que a Apple esteja coletando os dados *a confirmar*

2) este arquivo "escondido" não é novo ou secreto

h-cells.plist = Pre iOS 4
consolidated.db = iOS 4+

3) a "descoberta" é uma informação conhecida por analistas forenses há algum tempo e foi divulgada meses atrás (paper)

#Melhor "resumo da ópera, até o momento":
http://www.f-secure.com/weblog/archives/00002145.html (@mikkohypponen)

Interessante o argumento que a Apple quer construir uma base própria de geo-localização usando SSIDs Wireless assim como o Google Street View (veja nosso post sobre o assunto aqui) e o SkyHook fizeram.

#Vídeo mostrando queries sqlite3 no consolidated.db e desmistificando o assunto (só uma observação, antes dos comandos "select", recomendo configurar ".mode line" para facilitar a compreensão dos dados):

http://securitytube.net/video/1774

#Comando para extrair os dados via sqlite3
$ sqlite3 -header " select Latitude, Longitude, datetime( Timestamp/60/60/24 + julianday('2001-01-01'),'localtime') as date from CellLocation "

#Outros links para acontecimentos recentes relacionados a mobilidade + privacidade:
#Ferramenta de visualização de geolocalização (twitter, foursquare, exif de imagens postadas online)
Cree.py: http://ilektrojohn.github.com/creepy/
Download (python): https://github.com/ilektrojohn/creepy/commits/master/creepy/cree.py

#Antes que usuários de Android possam se gabar de vantagens de privacidade, veio o Android-LocDump
Android-LocDump: https://github.com/packetlss/android-locdump

#O MetaSploit Framerwork já tem um plugin para extração destes dados (e outros do backup do iTunes) remotamente em Win e Mac:
https://dev.metasploit.com/redmine/projects/framework/repository/revisions/12425/entry/modules/post/multi/gather/apple_ios_backup.rb

#Na alemanha, um político ligado à Privacidade solicitou as informações de localização do seu celular (de agosto de 2009 a fevereiro de 2010), veja o resultado abaixo:
http://futurejournalismproject.org/post/4110478285/tracking-cell-phones
http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten (vídeo interativo)

Inscreva-se no RSS Feed e receba atualizações automáticas

Inscreva-se no RSS Feed e receba atualizações automáticas

Fuzzy Logic e Fuzzy Hashing

[ Update 18/04/2011 ]

Hoje fui responder a um post sobre o assunto do meu colega de trabalho e amigo - Luiz Sales Rabelo, acabei escrevendo tanto que virou uma atualização por aqui:

Segue mais uma referência interessante: (pdf) - que apresenta as seguintes técnicas de "near match":

- Diff Analysis

- Hashing

- Fuzzy Hashing

- Entropy

O título é - Utilizing Entropy to Identify Undetected Malware - de Tom Davis, Product Manager, Cybersecurity Solutions (Guidance Software)

Acrescentaria ainda uma técnica que já utilizei para sair de sinucas de bico durante duas investigações, importantes, onde tudo parecia perdido - chamada File Block Hash Analysis:

Download do Enscript aqui: https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657

Falei sobre estas técnicas na nossa apresentação (slides) do último ICCyber (a partir do slide 27):

Iccyber 2010 - Sandro Süffert Avanços Tecnológicos

[ Post Original - 2009/11/09 ]

Fuzzy está na moda.

Dois dos meus blogs preferidos publicaram nos últimos dias artigos sobre métodos Fuzzy (Difusos). Um para Forense Computacional (Fuzzy Hashing), outro para Correlação de Logs / SIEM (Fuzzy Logic) .

O assunto é muito interessante e meu objetivo neste post post é comentar as excelentes contribuições feitas pela dupla de blogueiros brazucas.

Post I - Alexandre Teixeira: Fuzzy Hashing na Prática

São apresentados os conceitos e comandos para utilização do utilitário de linha de comando ssdeep (do inventor do Fuzzy Hashing via context triggered piecewise hashes (CTPH) - Jesse Kornblum).

Em linhas gerais, o Fuzzy Hashing torna possível a um analista forense, por exemplo, comparar diferentes arquivos para descobrir o grau de semelhança entre eles, independente da computação de hash tradicional (MD5, SHA1).

A técnica é útil também para análise de malwares (através de comparação de dump de processos em execução). Possivelmente códigos similares (diferentes versões) terão fuzzy hashings próximos.

Além disto, pode ser usado para encontrar vazamento de informação a partir de documentos conhecidos - que mesmo ao serem alterados manterão um fuzzy hashing próximo ao do arquivo original.

Meu comentário sobre outras implementações para Forense:

Alexandre, desde Janeiro de 2009 o FTK da AccessData (nas versões 2 e 3) já possui a funcionalidade de Fuzzy Hashing (ou CTPH) , inclusive com gerenciamento via KFF (Known File Filter) no BD Oracle que acompanha a solução.

Existe uma boa referência da utiilização de Fuzzy Hashing para Forense Digital no site da AccessData: http://www.accessdata.com/downloads/media/Fuzzy_Hashing_for_Investigators.pdf

Post II - Luiz Zanardo: Fuzzy Logic aplicada a busca de padrões em Logs

Não vou lembrar quem me falou, mas já ouvi alguém dizer que a Inteligência artificial costuma ser sempre o 2o melhor jeito de resolver um problema.. o que não é nada mal se resolver mesmo =)

Neste post o Zanardo introduz o leitor a algums conceitos de Lógica Difusa e Teoria de Conjuntos, incluindo Regras de Associação Difusas, Quantificadores Relativos, Suporte e Confiança - entre outros.

O maior ganho em utilizar a Lógica Difusa (ou Fuzzy Logic) está em sua capacidade de gerar respostas com base em informações qualitativamente incompletas e imprecisas ou ambíguas - como um conjunto de logs de segurança, por exemplo =) Em resumo, a lógica difusa generaliza a distribuição binária entre impossível e possível em uma representação gradativa (de 0 a 1) de possibilidade.

A melhor referência de introdução ao ssunto Fuzzy Logic que encontrei online foram estas aulas (powerpoint+video) da Universidade de Konstanz, na Alemanha (em inglês).

Conclusão:

Em ambos os casos, o objetivo é aproveitar o poder de reconhecimento de padrões que os algorítimos Fuzzy fornecem para melhorar a qualidade de identificação de objetos em produtos na área de Segurança.

Do ponto de vista de desenvolvimento de software, existem algumas implementações interessantes, seja via binders como o pyssdeep do python (fuzzy hashing) e o módulo AI::Fuzzy do Perl (fuzzy logic).

Do ponto de vista da implementação da tecnologia em produtos existentes no mercado - no que tange a utilização de Fuzzy Logic para SIEM/ Correlação de Eventos e Logs, a ArcSight é a melhor referência.

Já para Forense Computacional, a AccessData o Fuzzy Hashing no FTK saiu na frente e a Guidance Software utilizando "Entropy" em seu produto CyberSecurity também já apresenta alternativa com o mesmo objetivo.

Browser Forensics - bom material de referência publicado

[ Update 18/04/2011 ]

Um bom passo a passo para recuperação de evidências e outros links relacionadao ao uso do Firefox 4 foram publicados recentemente. A estrutura dos arquivos sqlite3 utilizados pelo FF4 é destrinchada, assim como suas funções e vestigios de interesse. Vale a leitura!

Seguem os links:

Parte 1: http://renaissancesecurity.blogspot.com/2011/04/firefox-4-browser-forensics-part-1.html

Parte 2: http://renaissancesecurity.blogspot.com/2011/04/firefox-4-browser-forensics-part-2.html

Parte da informações do DB utilizado pelo FF foram obtidas de outro site que ainda não citamos por aqui: http://www.firefoxforensics.com/index.shtml

[ Update - 19/06/2010 ]

A Mandiant acaba de lançar uma nova versão (2.0) do WebHistorian, que suporta extração de histórico de navegação do Firefox 2,3+, Chrome 3+ e IE v5 v6 v7 e v8..

[ Update - 28/05/2010 ]

Muitas variações sutis existem na forma de armazenamento das informações entre os vários sistemas operacionais e versões de navegadores existentes.

As ferramentas de Forense Comerciais (como Encase e FTK) possuem suporte à várias delas, e outras devem ser extraídas manualmente analisando as estruturas de dados relacionadas (IE: index.dat FF: .sqlite, etc).

Além disto, algumas ferramentas gratuitas podem auxiliar sobremaneira na tarefa de reconstrução de histórico de navegação e demais artefatos relacionados à utilização da Internet. Dentre elas, estão:

1 - ChromeAnalysis - extrai bookmarks, cookies, downloads, termos de pesquisa, logins, histórico, termos de pesquisa arquivados e histórico arquivado.

2 - FoxAnalysis - extrai bookmarks, cookies, downloads, histórico de formulários, logins e histórico da web do Firefox.

3 - Internet Evidence Finder - busca em arquivos ou espaço não alocado por:

• Internet Explorer 8: URLs Navegação Privativa/Recovery
• Facebook: páginas e chat
• MSN/Live: chat
• Yahoo e Yahoo Messenger: chat e Webmail
• GoogleTalk: chat
• Gmail: email
• Limewire: Termos de Pesquisa e configuração
• Hotmail: Webmail
• AOL IM: chat
• Messenger Plus: chat
• MySpace: chat
• Bebo: chat
• Yahoo Messenger: chat
• Facebook Email: “Snippets”

4 - NirSoft Browser Tools - várias ferramentas para extração de dados de navegação (nomes auto-explicativos):

• IECookiesView
• IEHistoryView
• IEHistoryView
• MozillaCookiesView
• MozillaCookiesView
• MozillaCookiesView
• OperaCacheView
• OperaCacheView
• OperaCacheView
• OperaCacheView
• SiteShoter

5 - NirSoftPassword Recovery Tools (nomes auto-explicativos):

• MessenPass
• Mail PassView
• IE PassView
• Protected Storage PassView
• Dialupass
• Asterisk Logger
• AsterWin IE
• Network Password Recovery
• SniffPass Password Sniffer
• PstPassword
• PasswordFox
• ChromePass
• OperaPassView
• WirelessKeyView
• Remote Desktop PassView
• VNCPassView
• PocketAsterisk
• RemotePocketAsterisk

6 - Web Browser Forensics - programa em C (GPL) para reconstrução de histórico de navegação de Firefox, Opera e Epiphany

7 - Web Historian - histórico de navegação de Internet Explorer, Mozilla, Firefox, Netscape, Opera e Safari

8 - Pasco - Análise de index.dat - histórico de navegação IE

9 - Galleta - Análise de Cookies do IE

10 - Firemaster e FirePassword: quebra de senhas do Firefox

11 - FF3HR Firefox 3 History Recovery: recuperação de histórico de navegação FF

[ Post Original - 31/03/2010 ]

Como sabemos, independente das ferramentas utilizadas para uma análise forense, é fundamental possuir uma boa compreensão do funcionamento interno e interação dos artefatos presentes em um sistema operacional investigado.

Existem alguns bons livros que detalham em capítulos alguns aspectos importantes de uma análise forense do ponto de vista da utilização de navegadores e das atividades efetuadas pelos usuários na Internet: sites visitados, referers, arquivos baixados, cookies, histórico de navegação, cache, etc.

Estas informações são cruciais em vários casos de investigação corporativa ou em perícias forenses, incluindo o levantamento de indícios de atividade dos usuários como acesso à sites, submissão de formulários, uso de senhas de terceiros, envio de web-mails, download de programas, pesquisas efetuadas em mecanismos de busca, entre outros.

Para facilitar o treinamento de equipes de investigação no assunto, há alguns dias foi publicado um mini-curso (PPT, PDF) por dois pesquisadores que há algum tempo se debruçam sobre o tema "Browser Forensics": Peter Hewitt e Manuel Humberto. É uma boa referência de técnicas e ferramentas para análise forense de navegadores de Internet muito utilizados (Internet Explorer e Firefox em diferentes versões do Windows).

Boa Leitura!

Digital Forensics Search

Corey Harrel, do blog Journey into Incident Response, criou uma ferramenta de pesquisa online (utilizando o Google Custom Search) de blogs, sites, documentos online e grupos de discussão públicos, chamada Digital Forensics Search.

O link que ele divulgou é este aqui: http://www.google.com/cse/home?cx=011905220571137173365:7eskxxzhjj8

Criei este mais fácil de decorar: http://tinyurl.com/dfsearch

A lista completa de fontes de pesquisa utilizadas podem ser vistas no blog do Corey.

Pelos testes que já fiz, se mostrou um valioso ponto de partida para pesquisas relacionadas à computação forense. Experimentem!

Forense Digital e o massacre de Realengo

[ Update - 15/04/2011 ]

Vários vídeos que foram retirados de um dos HD encontrados na casa do assassino foram divulgados hoje pela mídia. Nos vídeos (reprovo sua publicação e prefiro não ser mais um a divulgá-los) o assassino alega ter sido vítima de bullying e afirma que agiu para defender os que são como ele.

Em um dos vídeos, o assassino fala da facilidade de se obter informações relacionadas a criação de bombas, armas e comunidades para discutir ações como a que ele executou - o que infelizmente é verdade e exige atenção e patrulhamento das autoridades competentes.

[ Post Original - 14/04/2011 ]

Em uma reportagem sobre o massacre do Rio de Janeiro, entitulada "PF envia ao Rio grupo antiterror para investigar a vida do atirador de Realengo" - do jornal Extra (Globo.com) - a Techbiz Forense Digital é citada no seguinte trecho:

Técnicos do ICCE estão usando o software desenvolvido pelo FBI para recuperar as informações contidas nos computadores apreendidos na casa de Wellington. O programa Encase, fornecido pela Techbiz Forense Digital, possibilita a recuperação até de arquivos que tenham sido apagados pelo atirador. Dois dos três HDs, os discos de memória dos equipamentos, estão em melhores condições.

Apesar do grande interesse e crescente utilização de ferramentas de forense computacional por corporações públicas e privadas (para fins de auditoria, compliance, anti-fraude, segurança da informação e resposta a incidentes), a Techbiz Forense nasceu em 2005 para apoiar os mais variados órgãos de Segurança Pública e Defesa no que concerne a alta tecnologia em combate ao crime.

Certamente é uma honra ter parte no enfrentamento deste difícil momento, o que vai de encontro a nossa Missão e Visão corporativas:

MISSÃO: Ajudar a sociedade na integração e transformação das práticas e políticas de combate aos crimes digitais.

VISÃO: Assegurar que todos os agentes envolvidos no combate aos crimes digitais estejam equipados com a mais avançada tecnologia disponível para este fim.

Aprendendo com o ovo do Cuco (The Cucko´s Egg)

Sendo um dos livros mais antigos e importantes na área de Resposta a Incidentes, The Cucko´s Egg foi escrito por Clifford Stoll em 1986. Eu tive a oportunidade de lê-lo por duas vezes, e sempre o considerei uma obra basilar para qualquer um que trabalha com Segurança da Informação.

Se você ainda não viu o Cliff Stoll, vale a pena - ele fala de vários assuntos durante esta palestra no TED de 2006 - e sim, ele é o esteriótipo de cientista maluco.. =) Afinal ele era um astrônomo trabalhando em um grande laboratório americano quando acabou tendo que "responder ao incidente" relatado no livro The Cucko´s Egg.

O Richard Bejtlich - já citado tantas vezes aqui no blog - recentemente utilizou o assunto para uma apresentação em um evento no Departamento de Defesa Norte-Americano e extraiu algumas lições importantes do livro - todas muitos úteis para times de resposta a incidentes de segurança.

Pra quem já leu ou não vai ler o livro, vale a pena ver a apresentação dele - tem um ótimo resumo (60 slides) da história (obviamente contém 'spoilers') (PDF). Além disto, vale a pena conferir os vídeos no Youtube que contam a história.. (The KGB, The Computer, and Me)

Seguem as lições extraídas do PDF linkado acima:

"Lessons: Monitoring and Analysis

• “Build visibility in” with local accounting application
• Don’t rely on a single “source of truth”
• Centralized logging defeats intruders deleting local logs
• Passive full content monitoring captures all details
without alerting intruder
• Document analysis in log book
• Key questions: scope of intrusion, depth of intrusion?
• Monitoring using discarded gear is better than nothing
• Writing custom tools for monitoring and alerting
• Someone cares: analysis by a person who took the
intrusion personally!

Lessons: Nature of the Intrusion

• Intruder exploits weak credentials to gain access
• Intruder leverages local privilege escalation vulnerability
• Intruder exploits trust relationships
• Intruder exploits poor configurations deployed by vendor
• Intruder exploits system monoculture (Unix in the ’80s!)
• Sensitive data accessible from normal network, e.g.,
cancer treatment equipment
• Systems owners repeatedly told Stoll an intrusion was
“impossible – our systems are secure!”
• Recover by reimaging, rebuilding, restore backup?
• External notification is most common detection method

Lessons: Enduring Truths

• Of at least 80 victims, only 2 noticed (LBNL, NSA)
• Agencies ask for information but provide little back
• Users communication about intrusion compromise opsec
• Intruders violate assumptions held by network owners
• When to monitor intruder, and when to contain him?
• How much is stolen data worth? What is incident cost?
• A variety of analysis techniques provides best results
• Cannot trust endpoints to defend themselves nor report
their security state
• Intruders can be creative and persistent"

A propósito, no início deste ano, o Renato Maia - Sócio Diretor da Techbiz Forense - publicou um excelente artigo sobre o livro no blog da empresa. Reproduzo-o abaixo:

O Ovo do Cuco (por Renato Maia)

Em Agosto de 1986, Clifford Stoll recebeu sua primeira tarefa como administrador de sistemas no laboratório Lawrence Berkeley na Califórnia, EUA. Clifford deveria investigar uma discrepância de U$ 0,75 (75 centavos de dólar) no relatório gerado pelo software que controlava e contabilizava o uso dos sistemas (Unix e VAX) pelos seus usuários. Um detalhe interessante: Clifford, um astrônomo e pesquisador por formação, estava temporariamente trabalhando como administrador de sistemas na área de informática do laboratório devido a um erro na renovação da sua bolsa de pesquisador. Talvez por isto tenha recebido esta tarefa, a princípio, tão pouco relevante.

O que então parecia ser um erro de relatório do sistema era na verdade um usuário não autorizado com 9 segundos de uso não pagos. Surpreendentemente, o usuário não autorizado era um “hacker” que obteve acesso ao sistema explorando uma vulnerabilidade no software GNU Emacs.

Clifford acompanhou e monitorou este hacker durante 10 meses, em uma operação que é considerada por muitos a primeira resposta a um incidente e investigação publicamente documentada. Este é um breve resumo do livro “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage”. Estes 9 segundos de uso não autorizados levaram a descoberta de uma série de intrusões e acessos não autorizados em sistemas de universidades, de bases militares e do governo americano. Com objetivos claros de espionagem e ganhos financeiros.

Através de conexões discadas oriundas da Alemanha, utilizando modem de 1200 bps, o hacker mantinha e ampliava seu acesso em várias redes explorando falhas conhecidas em softwares da época. As informações e arquivos obtidos eram comercializados pelo hacker para a KGB da extinta União Soviética. Após várias tentativas frustradas Cliff conseguiu obter apoio para conduzir a monitoração e investigação com o FBI e a NSA – uma passagem interessante relata seu encontro com Robert Morris, cientista chefe do centro de segurança em computadores da NSA e pai do autor do Worm Morris (um dos primeiros Worms com grande impacto a proliferarem e atacarem a Internet).

Com este apoio e com o uso de técnicas criativas como a produção de documentos falsos referentes a um fictício projeto militar (Cliff Stoll pode ser considerado um dos “pais” do conceito de Honeypot/HoneyNet), a identidade do hacker – Markus Hess – foi descoberta e sua prisão efetivada em Hannover, na Alemanha. O detalhado registro gerado durante a investigação, bem como os documentos falsos usados como isca foram determinantes para a condenação de Markus Hess.

Este livro, que considero leitura mais do que recomendada, faz parte da história da TechBiz Forense Digital. O livro foi, juntamente com uma conversa casual de elevador (outra história interessante… Mas esta fica para outra oportunidade), uma das principais fontes de inspiração para criação da empresa e a determinação do seu foco.

Mais interessante é como o seu conteúdo se mantém cada vez mais atual. Stuxnet, Wikileaks, crimes digitais, roubos de identidade, Cyber Warfare e os vários relatos recentes de espionagem via Internet são situações modernas que encontram paralelos na história relatada em “The Cuckoo’s Egg”, ocorrida há 25 anos.

É exatamente para debater temas como esses que pretendo usar este espaço, no blog da TechBiz Forense Digital.

Post Update [23:00]: O meu amigo de além-mar Miguel Almeida acaba de publicar um artigo sobre o assunto em seu excelente blog na língua de Camões: http://miguelalmeida.pt/2011/04/clifford-stoll-e-a-persegui%C3%A7%C3%A3o-ao-hacker-astuto.html