Visualizando os arquivos instalados e a data de instalação

Muitas pessoas gostam de experimentar os softwares disponibilizados na internet para download e instalam no computador para verificar o funcionamento deles. Em muitos casos, os programas são instalados e quando expiram o prazo de avaliação ( programa beta) os usuários vão em busca de métodos não convencionais para manter o software em funcionamento (serial clandestino ou crack fornecido pelo mundo “underground”).

Porém, é importante para um perito listar todos os programas instalados na máquina e visualizar a data de instalação de cada um. Caso o serviço do perito seja de identificar os softwares “piratas” que estão no computador do investigado, o perito poderá utilizar ferramentas específicas para determinar se o programa está dentro do perído de teste desde a instalação ou confirmar que foram usados meios ilícitos para manter um programa em eterno período de teste.

Para tanto, uma das ferramentas utilizadas pelo perito para listar todos os programas instalados, versão, caminho de instalação e data da instalação, é o software   Installed Program Finder, muito eficiente e prático, que possibilita salvar a listagem dos softwares instalados em um arquivo texto (txt) para futuras formatação em um relatório para anexar ao laudo pericial produzido pelo perito.

 

Visualizando o conteúdo do Thumbs.db

Continuando na linha forense, escrevo esse artigo importante sobre a preocupação quanto aos arquivos gerados pelo sistema operacional Windows e que o usuário nem sabe para que existem. Quanta informação é armazenada em nossos computadores e nem damos valor a esses arquivos tão “inofensivos”.

Em uma pasta contendo aquivos de imagens, se um dia você selecionou a forma de visualização “miniaturas”, com certeza encontrará um arquivo com o nome de Thumbs.db. A razão de existência desse arquivo é criar um cache das imagens em miniatura para agilizar o aparececimento das imagens pequenas na visualização dentro da própria pasta, no windows explorer.

Sem esse arquivo, quando você acessa, por exemplo, dentro da pasta “Meus Documentos” a pasta “Minhas Imagens”, caso tenha 100 arquivos de fotos, e você selecionar a opção de visualização “miniaturas”, vai demorar um certo tempo para que o windows mostre a miniaturas de todas as fotos. Ao final de abrir todas as fotos, será criado o arquivo Thumbs.db, com o cache das miniaturas. Quando entrar novamente nessa mesma pasta, e visualizar as miniaturas, as fotos já estarão carregadas (miniaturas) pois foram carregadas diretamente do cache.

Mesmo se você apagar as fotos da pasta e manter o arquivo Thumbs.db no diretório, o perito poderá abrir esse arquivo em uma ferramenta forense, como por exemplo, o Thumbs.db Viewer e visualizar todas as fotos em miniatura, que um dia, estavam armazenadas dentro da pasta.

 

Ferramenta Forense para acessar arquivo NTUSER.DAT

Muitos me procuraram para questionar sobre a fucionalidade do arquivo NTUSER.DAT existente dentro de cada perfil de usuário criado no windows. Para um perito, pode ser uma fonte de informação sobre as preferências do usuário, o que ele tem instalado ultimamente no computador e outros dados importantes.

Nesse caso, resumidamente, o arquivo NTuser.dat é a parte do Registro do perfil de usuário. Quando um usuário faz logoff do computador, o sistema descarrega a seção específica do usuário do Registro (ou seja, HKEY_CURRENT_USER) no arquivo NTuser.dat e o atualiza. Para obter mais informações sobre o Registro, consulte estrutura do Registro.

Pra cada usuário criado na maquina existe um arquivo “NTuser.dat”. Só confira o nome do arquivo, pois como já disseram alguns virus imitam o nome de arquivos do windows, mas se o nome for “NTuser.dat” fique tranquilo, e o arquivo varia mesmo de tamanho dependo da configuração do perfil do usuário.

Para ter acesso aos dados desse arquivo, não basta abrir com o bloco de notas ou wordpad, pois as informações estão criptografadas, devido a segurança que o sistema operacional utiliza para evitar problemas de confidencialidade.

Para um perito, particularmente, eu utilizo o Live CD Ubuntu Forensics – FTDK, no qual através da ferramenta regp, você pode observar o conteúdo do arquivo, que contem algumas informações do tipo:

Offline Registry File Parser, by Harlan Carvey
Version 1.1, 20060523
 
\$$$PROTO.HIV\Software\Microsoft\Internet Explorer\TypedURLs

 

LastWrite time: Tue Nov 24 15:35:53 2009

–> url1;REG_SZ;http://www.google.com.br/

–> url2;REG_SZ;http://wordpress.com/

–> url3;REG_SZ;http://www.terra.com.br/

–> url4;REG_SZ;http://www.dealextreme.com/

–> url5;REG_SZ;http://www.gmail.com/

 

Listando todos os dispositivos que um dia conectaram na USB do computador

Em algum momento, um dispositivo USB é conectado no computador, seja ele uma impressora, pendrive, Cd-ROM ou uma câmera digital. E quando essa conexão é efetuada na porta USB, ficar gravado no registro do windows uma série de informações sobre o dispositivo que um dia foi inserido na USB do micro.

Para um perito forense, esse tipo de informação gravado em uma chave do registro do windows, é uma fonte rica de dados preciosos que pode resolver uma lide emanada no judiciário.

Por exemplo, digamos que um criminoso se defenda e diga que o pendrive dele não foi utilizado no computador da vítima para infectar o computador, e assim, obter informações sigilosas e confidenciais. Basta o perito consultar o registro do windows e pronto, se o dispositivo USB estiver listado na chave de registro, é uma confirmação que o pendrive foi conectado na porta USB. Cabe o Juíz decidir se o criminoso realmente praticou tal ato com intenção de obter dados confidenciais, mas desde imediato, fica comprovado e derrubado a tese da defesa, em que foi alegado que o pendrive nunca foi inserido na USB do computador da vítima.

Para listar os dispositivos que um dia foi conectado na porta USB do computador, basta localizar a seguinte pasta no registro do windows:

1 – Clique em Iniciar, e digite regedit para entrar no registro do windows;

2 – Localize a seguinte chave no registro:

HLM -> System -> ControlSet001 ->  Enum -> USBTOR

Se existir ControlSet002, ControlSet003 e assim por diante… pesquise em todas essas chaves, pois em cada uma delas, na chave USBTOR, estará listado todos os dispositivos USB que um dia, passaram pelo computador.

 

Identificando o horário de inicio de fim de utilização do computador

Em várias perícias judiciais demandadas nas lides do judiciário, uma das informações importantes que podem ser úteis constar no laudo pericial é data e hora em que o computador foi ligado e desligado, para compor as informações que serão parte do laudo pericial.

No registro do windows, executando o comando “regedit” em Iniciar -> Executar do windows, as duas principais chaves com as informações de quando o computador foi iniciado e quando foi desligado, se encontram no seguinte caminho:

KLM -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Prefetcher

A chave ExitTime , trará a data e horário em que o micro foi desligado

A chave StartTime, trará a data e horário em que o micro foi iniciado.

Fontes da CIA afirmam que ataques de hackers já provocaram ao menos dois apagões no Brasil

Ataques de hackers já provocaram pelo menos dois apagões que afetaram ao mesmo tempo várias cidades do Brasil nos últimos quatro anos, segundo fontes da CIA e da área de segurança dos Estados Unidos. As informações foram divulgadas pela imprensa dos EUA. Um ex-diplomata americano ouvido pelo O Globo confirmou a denúncia. Segundo as fontes americanas, os apagões em questão aconteceram em 2005, no Rio de Janeiro, e em 2007, no Espírito Santo e norte do Rio, este último afetando milhões de pessoas. Órgãos brasileiros não confirmam as informações de oficiais americanos e não há provas até agora de que o apagão de terça-feira tenha sido causado por um ciberataque.

“Fui informado por fontes confiáveis da CIA e do departamento de Defesa de que os ataques mencionados publicamente no passado pela própria CIA e pelo presidente (Barack) Obama aconteceram no Brasil”, afirmou James Lewis, ex-diplomata americano e hoje especialista em cibersegurança do Centro de Estudos Estratégicos e Internacionais, com sede em Washington.

No ano passado, quatro meses depois de assumir o cargo, Obama citou os ataques para afirmar que a possibilidade de uma guerra virtual no mundo tinha deixado o campo da teoria. O presidente americano decretou a segurança cibernética uma prioridade nacional.

“Sabemos que invasores cibernéticos testaram nossa rede elétrica, e que em outros países ataques cibernéticos deixaram cidades inteiras no escuro”, afirmou, sem mencionar o país. “Está claro que a ameaça cibernética é um dos desafios econômicos e de segurança nacional mais sérios que enfrentamos como nação”, acrescentou.

Em 2008, o principal analista de ciberssegurança da CIA havia anunciado que hackers invadiram o sistema de companias de serviço público fora dos EUA fazendo exigências. Em pelo menos um caso, acrescentou, eles haviam provocado um apagão em várias cidades. A CIA, na época, também não revelou o país.

“Não sabemos quem executou esses ataques e por que, mas todos envolveram invasores através da internet”, afirmou Tom Donahue, da CIA, em janeiro de 2008 ao jornal “Washington Post”, que considerou na época a revelação incomum.

Rumores na área de segurança americana davam conta de que os ataques mencionados teriam acontecido no Brasil, segundo o O Globo apurou três semanas antes do apagão de terça.

No domingo passado, o programa “60 Minutes” da CBS confirmou os rumores com pelo menos seis fontes gabaritadas do serviço secreto, da área militar e de organizações da área de segurança dos Estados Unidos. O programa afirma que Obama e a CIA se referiam ao Brasil em seus comentários. Segundo a revista “Wired”, Richard Clarke, um dos maiores especialistas americanos em guerra cibernética, também já havia confirmado publicamente os ataques no Brasil.

Segundo a CBS, os ataques aconteceram em três cidades do Rio de Janeiro em 2005 e em várias cidades do Espírito Santo em 26 de setembro de 2007, este último afetando milhões de pessoas. Segundo a reportagem do jornal O Globo publicada na época, o apagão afetou também cidades do Norte do Rio, embora tenha se concentrado no Espírito Santo.

Lewis explica ser comum casos de extorsão por parte de hackers, mas que geralmente as empresas preferem não divulgar os ataques. A invasão, nesses casos, é feita por pequenos grupos de criminosos cibernéticos equipados com bons computadores. Ele informa que há ataques conhecidos a empresas americanas e inglesas.

“Sabe-se que a máfia russa, chineses e até brasileiros realizam ataques do gênero. Eles pedem dinheiro e, se não forem atendidos, derrubam o sistema”, afirma. “Não dá para saber se o último apagão foi causado por hackers. Mas certamente esta é uma possibilidade”, frisa.

Alan Paller, diretor de segurança do Sans, um megainstituto americano de treinamento e certificação na área de segurança, confirma que casos de extorsão respondem por uma grande parcela dos crimes cibernéticos.

“Não tenho informações de bastidores sobre esse caso. Mas é sim possível que um hacker tenha gerado o apagão. Ataques a empresas de serviço público são cada vez mais comuns”, afirmou Paller, ressalvando que as empresas, especialmente na área de defesa e de serviços públicos, quase nunca admitem que seus sistemas foram invadidos, preferindo ficar com o prejuízo.

Ele cita casos clássicos de extorsão como o roubo, no início do milênio, de um milhão de números de cartões de crédito nos EUA. Algumas empresas chegaram a pagar 100 mil libras para não ter os dados revelados. Outro ataque famoso afetou o setor de jogos, e um terceiro, uma organização médica americana ameaçada de ter os dados dos pacientes divulgados. O quarto caso, diz, foi o anúncio da CIA de que hackers provocaram apagões.

“Muita gente acaba pagando”, diz.

O ministro de Minas e Energia, Edison Lobão, não quis comentar a possibilidade de o apagão ter sido causado por algum hacker, mas afirmou que tudo será averiguado. Furnas também nega. Segundo a empresa, em 2007 a causa do apagão foi a poluição acumulada sobre os cabos de energia por conta da falta de chuvas na região por cerca de oito meses. O ex-presidente da Eletrobrás e atual diretor da Coppe/UFRJ, Luiz Pinguelli Rosa, afirmou em entrevista à GloboNews não acreditar que o apagão de terça-feira tenha sido causado por algum tipo de sabotagem. Posteriormente, acrescentou que aparentemente não havia danos físicos no sistema, como a queda de uma torre por um raio. O diretor de Itaipu, Jorge Samek, informou que o apagão pode ter sido causado por alterações climáticas.

Fonte: http://portal.rpc.com.br/gazetadopovo/apagaonobrasil/conteudo.phtml?tl=1&id=943237&tit=Fontes-da-CIA-afirmam-que-ataques-de-hackers-ja-provocaram-ao-menos-dois-apagoes-no-Brasil

Colaboração: Marcos Lisboa

Técnicas anti-forense para ocultação de dados – Parte 2

Colaboração: Alexandre Stratikopoulos

Nesta segunda parte do artigo sobre técnicas anti-forense, abordaremos algumas opções para ocultação de dados na Camanda de Hardware.

O disco rígido, independente do funcionamento dos sistemas operacionais, parece ser um bom local para ocultar dados confidenciais. O processo investigativo e de análise de um disco deve iniciar-se com a obtenção de informações sobre sua geometria e configuração, seguida pelo processo de geração da imagem bit-a-bit do dispositivo.

A seguir, abordaremos 2 áreas do disco que podem ser usadas para ocultação de dados.
                       MBR
                       ===

Dentre as áreas não acessíveis pelo usuário comum, está a MBR. Como indicado abaixo, é uma prática normal as tabelas de partições (do MBR ou da partição estendidas) começarem na cabeça 0, setor 1 de um cilindro, e o primeiro
setor da primeira particão começar na cabeça 1, setor 1 do cilindro.

A consequência dessa prática é a existência de setores não utilizados entre o setor da tabela de partições e início da primeira partição. Esses setores podem ser utilizados para esconder informações, sem qualquer risco de serem detectadas pelo uso normal do sistema de arquivos.

As informações armazenadas em áreas não acessíveis através de um sistema de arquivos podem ser extraídas por meio de raw I/O, utilizando-se, por exemplo, o comando dd e o device node (ou a imagem em arquivo) correspondente ao disco analisado, como ilustrado a seguir:

 # dd if=/dev/sda of=image.sda bs=512 skip=1 count=62
 62+0 records in
 62+0 records out

No exemplo anterior, o comando dd é usado para extrair o espaço não utilizado entre o MBR (setor 0) e o setor de boot da primeira partição do disco (setor 63). A informação é extraída do disco /dev/sda e é preservada no arquivo binário image.sda. As opções bs, skip e count são utilizadas para instruir o comando dd a copiar 62 setores de 512 bytes, a partir do setor de número 1.

                       MBR
                       ===

A Host Protected Area (HPA) é definida como uma área protegida em um disco rígido, sendo introduzida como um recurso opcional no padrão ATA-4 em 1998 e atualmente, a maioria dos discos rígidos suportam esse recurso.

Este recurso é muito usado por fabricantes de notebook para armazenar imagens do sistema atual, bem como ferramentas de recuperação e diagnóstico. Seu principal objetivo é prover a recuperação do sistema a partir de uma imagem padrão. Se a HPA está sendo utilizada para este propósito, é possível que o investigador forense encontre evidências de dados ocultos nesta área.

Na prática, seu disco tem um espaço maior do que a área utilizada pelo sistema operacional e existem algumas ferramentas gratuítas, como hdat2, que são capazes de acessar e modificar o conteúdo da HPA de um disco.

Para verificar se seu disco tem a HPA habilitada, pode-se utilizar a ferramenta hdat2, como no exemplo abaixo:

No exemplo abaixo, um disco que para o sistema operacional é exibido como sendo de 125G, na verdade tem mais 125G alocado para a HPA.

                       Conclusão
                       =========

Normalmente, quando a informação é armazenada tanto na HPA, ela não é acessível pelo BIOS, sistema operacional, ou pelo usuário. No entanto, algumas ferramentas podem ser usadas para acessar e modificar seu conteúdo.

Dado o potencial de colocar esses dados em áreas escondidas, esta é uma área de preocupação para os peritos computacionais.

Espero que isso não seja mais “grego” para você!!

Artigo publicado originalmente em http://gregoweblog.blogspot.com/2009/11/tecnicas-anti-forense-para-ocultacao-de.html

Fonte: www.dicas-l.com.br

Técnicas anti-forense para ocultação de dados

Colaboração: Alexandre Stratikopoulos

Informações podem ser armazenados em discos rígidos sem a utilização das estruturas e facilidades de um sistema de arquivos. Desse modo, informações consideradas valiosas para um processo de análise forense podem estar armazenadas não somente nos arquivos, mas também em áreas do disco que não são acessíveis através do funcionamento normal de um sistema de arquivos.

Diversas técnicas são utilizadas para a ocultação de dados, as quais podem ser aplicadas em 3 camadas:

– Camada de Hardware: MBR, HPA, DCO
– Camada do Sistema de Arquivos: Slack Spaces, ADS, Extended Attributes
– Camada de Aplicação: Esteganografia
       File Slack Space
       ================

Neste primeiro post, abordaremos a técnica denominada File Slack Space, que nada mais é do que a utilização dos espaços subaproveitados de um ou mais blocos de um sistema de arquivos para ocultar informações.

Os sistemas de arquivos armazenam as informações em disco utilizando blocos de dados de tamanho fixo (1Kb, 2Kb ou 4Kb). Contudo, os arquivos em um disco podem ter os mais variados tamanhos, dependendo do seu conteúdo. Desta forma, raramente o tamanho de um arquivo é múltiplo do tamanho de um bloco, o que impede seu armazenamento ideal. Sendo assim, é comum que o último bloco associado a um arquivo não seja totalmente utilizado por ele, permitindo que dados excluídos deste e de antigos arquivos possam ser capturados e analisados.

Isso não significa dizer que os slack spaces são espaços livres para armazenamento de dados de forma convencional. Os blocos que contém slack spaces são marcados pelo sistema operacional como utilizados e somente serão sobrescritos pelo sistema de arquivos caso o arquivo que o ocupa for expandido. Para o armazenamento, detecção e recuperação de informações em slack spaces, é preciso utilizar ferramentas especializadas, como por exemplo o bmap para sistemas de arquivos ext2/ext3 ou o slacker para NTFS. Essas ferramentas são necessárias pois o sistema operacional ignora as informações armazenadas em slack spaces, uma vez que não há alteração aparente no checksum ou no MAC

Time dos arquivos envolvidos.

       Bmap
       ====

Bmap é uma ferramenta forense que pode ser obtida de forma gratuíta. Após sua compilação, podemos ocultar ou recuperar alguma informação e/ou arquivo de forma bem simples.

Em primeiro lugar, devemos identificar algum arquivo já gravado que possua slack space. O comando abaixo exibe a espaço utilizado (277 bytes) pelo arquivo /etc/hosts e seu espaço livre (3819 bytes).

 [root@grego ~]# bmap –mode slack /etc/hosts
 getting from block 2148457
 file size was: 277
 slack size: 3819
 block size: 4096

Sabemos que o arquivo /etc/hosts possui 3819 bytes de espaço livre para armazenar informações. Antes de armazenar alguma informação no slack space, vamos extrair o checksum do arquivo:

 [root@grego ~]# md5sum /etc/hosts
 b0627774adcc1129143b2d1d08ecd133  /etc/hosts

Vamos extrair também as informações de MAC Time do arquivo, para compararmos com após a ocultação das informações:

 [root@grego ~]# stat /etc/hosts
 File: `/etc/hosts’
 Size: 277             Blocks: 16         IO Block: 4096   regular file
 Device: fd00h/64768d    Inode: 2131987     Links: 1
 Access: (0644/-rw-r–r–)  Uid: (    0/    root)   Gid: (    0/    root)
 Access: 2009-10-29 01:54:10.000000000 -0200
 Modify: 2009-09-18 12:55:16.000000000 -0300
 Change: 2009-09-18 12:55:16.000000000 -0300

Podemos ocultar um texto, binário ou imagem usando o pipe para direcionar a saída do comando para o programa bmap. O exemplo abaixo ilustra a ocultação de um texto simples:

 [root@grego ~]# echo “Hello World” | bmap –mode putslack /etc/hosts
 getting from block 2148457
 file size was: 277
 slack size: 3819
 block size: 4096

Podemos confirmar que o MAC Time e o checksum não foram alterados:
 [root@grego ~]# md5sum /etc/hosts
 b0627774adcc1129143b2d1d08ecd133  /etc/hosts
 [root@grego ~]# stat /etc/hosts
 File: `/etc/hosts’
 Size: 277             Blocks: 16         IO Block: 4096   regular file
 Device: fd00h/64768d    Inode: 2131987     Links: 1
 Access: (0644/-rw-r–r–)  Uid: (    0/    root)   Gid: (    0/    root)
 Access: 2009-10-29 01:54:10.000000000 -0200
 Modify: 2009-09-18 12:55:16.000000000 -0300
 Change: 2009-09-18 12:55:16.000000000 -0300

Para listar o conteúdo armazenado no slack space de um arquivo, o comando abaixo pode ser executado:
 [root@grego ~]# bmap –mode slack /etc/hosts
 getting from block 2148457
 file size was: 277
 slack size: 3819
 block size: 4096
 Hello World

Para apagar o conteúdo armazenado no slack space, preservando o conteúdo original de um arquivo, o comando abaixo pode ser executado:

 [root@grego ~]# bmap –mode wipe /etc/hosts
Para identificar se um arquivo têm seu slack space utilizado, podemos utilizar o comando abaixo:
 [root@grego ~]# bmap –mode checkslack /etc/hosts
 /etc/hosts does not have slack
       Conclusão
       =========

A análise de informações extraídas das áreas não acessíveis através de um sistema de arquivos é, na maioria das vezes, um processo tedioso e demorado já que esses dados geralmente constituem um fluxo de bits sem estrutura alguma aparente. Porém, com o uso de ferramentas adequadas, pode-se obter bons resultados no processo investigativo.

Espero que isso não seja mais “grego” para você!!

Artigo publicado originalmente em http://gregoweblog.blogspot.com/2009/10/tecnicas-anti-forense-para-ocultacao-de.html

Fonte: http://www.dicas-l.com.br

Hackers “bombardeiam” urnas eletrônicas em novembro

A segurança das urnas eletrônicas será posta à prova no mês que vem por 26 especialistas em informática e hackers que se inscreveram em um desafio aberto pelo Tribunal Superior Eleitoral (TSE).

“O tribunal decidiu aceitar a inscrição de todas as pessoas que manifestaram interesse em pôr as urnas à toda prova para mostrar que não há intenção de vetar ninguém nem nenhum tipo de estratégia”, disse um representante do TSE.

Os 26 hackers e especialistas, que terão acesso tanto ao hardware como ao software do sistema, participarão entre os dias 10 e 13 de novembro dos testes públicos de segurança do sistema eletrônico de votação na sede do tribunal.

Os dez desafiantes, já que alguns trabalharão em grupo, terão quatro dias para tentar violar os códigos de segurança do software, o sigilo do voto ou para alterar algum voto digitado com a ajuda de diversos programas e equipamentos.

O TSE decidiu promover o desafio em resposta às reclamações de alguns partidos políticos que alegam que a apuração de uma eleição no Brasil pode ser manipulada por especialistas em informática.

Para o secretário de tecnologia da informação do TSE, Giuseppe Janino, o teste também servirá para detectar possíveis lacunas no sistema.

Segundo Janino, entre os desafiantes inscritos figuram desde profissionais em ciência da computação, engenharia eletrônica e análise de sistemas, até especialistas em auditoria.

O secretário acrescentou que a diversidade das estratégias que serão utilizadas pelos desafiantes pode ser medida no prazo que cada um solicitou para tentar violar o sistema, que varia de uma hora até quatro dias.

Planos de ataque

“Um dos inscritos alega que a pesquisa por ondas eletromagnéticas permite identificar as teclas usadas pelo eleitor e, assim, violar o sigilo do voto”, afirmou Janino, citado em comunicado do tribunal.

“Também há planos para tentar invadir o sistema com softwares maliciosos”, acrescentou, ao se referir a um desafiante que pretende chegar à memória da urna com um programa criado especialmente para violações de sistemas.

“Sua intenção é promover desvios nos votos digitados com um software que se autodestrói depois de usado para não deixar vestígios”, disse.

O TSE premiará com R$ 5 mil ao grupo de desafiantes que mais se aproximar do objetivo de violar a segurança do sistema.

Fonte: http://www1.folha.uol.com.br/folha/informatica/ult124u645011.shtml