Visualizando os arquivos instalados e a data de instalação

Muitas pessoas gostam de experimentar os softwares disponibilizados na internet para download e instalam no computador para verificar o funcionamento deles. Em muitos casos, os programas são instalados e quando expiram o prazo de avaliação ( programa beta) os usuários vão em busca de métodos não convencionais para manter o software em funcionamento (serial clandestino ou crack fornecido pelo mundo “underground”).

Porém, é importante para um perito listar todos os programas instalados na máquina e visualizar a data de instalação de cada um. Caso o serviço do perito seja de identificar os softwares “piratas” que estão no computador do investigado, o perito poderá utilizar ferramentas específicas para determinar se o programa está dentro do perído de teste desde a instalação ou confirmar que foram usados meios ilícitos para manter um programa em eterno período de teste.

Para tanto, uma das ferramentas utilizadas pelo perito para listar todos os programas instalados, versão, caminho de instalação e data da instalação, é o software   Installed Program Finder, muito eficiente e prático, que possibilita salvar a listagem dos softwares instalados em um arquivo texto (txt) para futuras formatação em um relatório para anexar ao laudo pericial produzido pelo perito.

 

Anúncios

Visualizando o conteúdo do Thumbs.db

Continuando na linha forense, escrevo esse artigo importante sobre a preocupação quanto aos arquivos gerados pelo sistema operacional Windows e que o usuário nem sabe para que existem. Quanta informação é armazenada em nossos computadores e nem damos valor a esses arquivos tão “inofensivos”.

Em uma pasta contendo aquivos de imagens, se um dia você selecionou a forma de visualização “miniaturas”, com certeza encontrará um arquivo com o nome de Thumbs.db. A razão de existência desse arquivo é criar um cache das imagens em miniatura para agilizar o aparececimento das imagens pequenas na visualização dentro da própria pasta, no windows explorer.

Sem esse arquivo, quando você acessa, por exemplo, dentro da pasta “Meus Documentos” a pasta “Minhas Imagens”, caso tenha 100 arquivos de fotos, e você selecionar a opção de visualização “miniaturas”, vai demorar um certo tempo para que o windows mostre a miniaturas de todas as fotos. Ao final de abrir todas as fotos, será criado o arquivo Thumbs.db, com o cache das miniaturas. Quando entrar novamente nessa mesma pasta, e visualizar as miniaturas, as fotos já estarão carregadas (miniaturas) pois foram carregadas diretamente do cache.

Mesmo se você apagar as fotos da pasta e manter o arquivo Thumbs.db no diretório, o perito poderá abrir esse arquivo em uma ferramenta forense, como por exemplo, o Thumbs.db Viewer e visualizar todas as fotos em miniatura, que um dia, estavam armazenadas dentro da pasta.

 

Ferramenta Forense para acessar arquivo NTUSER.DAT

Muitos me procuraram para questionar sobre a fucionalidade do arquivo NTUSER.DAT existente dentro de cada perfil de usuário criado no windows. Para um perito, pode ser uma fonte de informação sobre as preferências do usuário, o que ele tem instalado ultimamente no computador e outros dados importantes.

Nesse caso, resumidamente, o arquivo NTuser.dat é a parte do Registro do perfil de usuário. Quando um usuário faz logoff do computador, o sistema descarrega a seção específica do usuário do Registro (ou seja, HKEY_CURRENT_USER) no arquivo NTuser.dat e o atualiza. Para obter mais informações sobre o Registro, consulte estrutura do Registro.

Pra cada usuário criado na maquina existe um arquivo “NTuser.dat”. Só confira o nome do arquivo, pois como já disseram alguns virus imitam o nome de arquivos do windows, mas se o nome for “NTuser.dat” fique tranquilo, e o arquivo varia mesmo de tamanho dependo da configuração do perfil do usuário.

Para ter acesso aos dados desse arquivo, não basta abrir com o bloco de notas ou wordpad, pois as informações estão criptografadas, devido a segurança que o sistema operacional utiliza para evitar problemas de confidencialidade.

Para um perito, particularmente, eu utilizo o Live CD Ubuntu Forensics – FTDK, no qual através da ferramenta regp, você pode observar o conteúdo do arquivo, que contem algumas informações do tipo:

Offline Registry File Parser, by Harlan Carvey
Version 1.1, 20060523
 
\$$$PROTO.HIV\Software\Microsoft\Internet Explorer\TypedURLs

 

LastWrite time: Tue Nov 24 15:35:53 2009

–> url1;REG_SZ;http://www.google.com.br/

–> url2;REG_SZ;http://wordpress.com/

–> url3;REG_SZ;http://www.terra.com.br/

–> url4;REG_SZ;http://www.dealextreme.com/

–> url5;REG_SZ;http://www.gmail.com/

 

Listando todos os dispositivos que um dia conectaram na USB do computador

Em algum momento, um dispositivo USB é conectado no computador, seja ele uma impressora, pendrive, Cd-ROM ou uma câmera digital. E quando essa conexão é efetuada na porta USB, ficar gravado no registro do windows uma série de informações sobre o dispositivo que um dia foi inserido na USB do micro.

Para um perito forense, esse tipo de informação gravado em uma chave do registro do windows, é uma fonte rica de dados preciosos que pode resolver uma lide emanada no judiciário.

Por exemplo, digamos que um criminoso se defenda e diga que o pendrive dele não foi utilizado no computador da vítima para infectar o computador, e assim, obter informações sigilosas e confidenciais. Basta o perito consultar o registro do windows e pronto, se o dispositivo USB estiver listado na chave de registro, é uma confirmação que o pendrive foi conectado na porta USB. Cabe o Juíz decidir se o criminoso realmente praticou tal ato com intenção de obter dados confidenciais, mas desde imediato, fica comprovado e derrubado a tese da defesa, em que foi alegado que o pendrive nunca foi inserido na USB do computador da vítima.

Para listar os dispositivos que um dia foi conectado na porta USB do computador, basta localizar a seguinte pasta no registro do windows:

1 – Clique em Iniciar, e digite regedit para entrar no registro do windows;

2 – Localize a seguinte chave no registro:

HLM -> System -> ControlSet001 ->  Enum -> USBTOR

Se existir ControlSet002, ControlSet003 e assim por diante… pesquise em todas essas chaves, pois em cada uma delas, na chave USBTOR, estará listado todos os dispositivos USB que um dia, passaram pelo computador.

 

Identificando o horário de inicio de fim de utilização do computador

Em várias perícias judiciais demandadas nas lides do judiciário, uma das informações importantes que podem ser úteis constar no laudo pericial é data e hora em que o computador foi ligado e desligado, para compor as informações que serão parte do laudo pericial.

No registro do windows, executando o comando “regedit” em Iniciar -> Executar do windows, as duas principais chaves com as informações de quando o computador foi iniciado e quando foi desligado, se encontram no seguinte caminho:

KLM -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Prefetcher

A chave ExitTime , trará a data e horário em que o micro foi desligado

A chave StartTime, trará a data e horário em que o micro foi iniciado.

Fontes da CIA afirmam que ataques de hackers já provocaram ao menos dois apagões no Brasil

Ataques de hackers já provocaram pelo menos dois apagões que afetaram ao mesmo tempo várias cidades do Brasil nos últimos quatro anos, segundo fontes da CIA e da área de segurança dos Estados Unidos. As informações foram divulgadas pela imprensa dos EUA. Um ex-diplomata americano ouvido pelo O Globo confirmou a denúncia. Segundo as fontes americanas, os apagões em questão aconteceram em 2005, no Rio de Janeiro, e em 2007, no Espírito Santo e norte do Rio, este último afetando milhões de pessoas. Órgãos brasileiros não confirmam as informações de oficiais americanos e não há provas até agora de que o apagão de terça-feira tenha sido causado por um ciberataque.

“Fui informado por fontes confiáveis da CIA e do departamento de Defesa de que os ataques mencionados publicamente no passado pela própria CIA e pelo presidente (Barack) Obama aconteceram no Brasil”, afirmou James Lewis, ex-diplomata americano e hoje especialista em cibersegurança do Centro de Estudos Estratégicos e Internacionais, com sede em Washington.

No ano passado, quatro meses depois de assumir o cargo, Obama citou os ataques para afirmar que a possibilidade de uma guerra virtual no mundo tinha deixado o campo da teoria. O presidente americano decretou a segurança cibernética uma prioridade nacional.

“Sabemos que invasores cibernéticos testaram nossa rede elétrica, e que em outros países ataques cibernéticos deixaram cidades inteiras no escuro”, afirmou, sem mencionar o país. “Está claro que a ameaça cibernética é um dos desafios econômicos e de segurança nacional mais sérios que enfrentamos como nação”, acrescentou.

Em 2008, o principal analista de ciberssegurança da CIA havia anunciado que hackers invadiram o sistema de companias de serviço público fora dos EUA fazendo exigências. Em pelo menos um caso, acrescentou, eles haviam provocado um apagão em várias cidades. A CIA, na época, também não revelou o país.

“Não sabemos quem executou esses ataques e por que, mas todos envolveram invasores através da internet”, afirmou Tom Donahue, da CIA, em janeiro de 2008 ao jornal “Washington Post”, que considerou na época a revelação incomum.

Rumores na área de segurança americana davam conta de que os ataques mencionados teriam acontecido no Brasil, segundo o O Globo apurou três semanas antes do apagão de terça.

No domingo passado, o programa “60 Minutes” da CBS confirmou os rumores com pelo menos seis fontes gabaritadas do serviço secreto, da área militar e de organizações da área de segurança dos Estados Unidos. O programa afirma que Obama e a CIA se referiam ao Brasil em seus comentários. Segundo a revista “Wired”, Richard Clarke, um dos maiores especialistas americanos em guerra cibernética, também já havia confirmado publicamente os ataques no Brasil.

Segundo a CBS, os ataques aconteceram em três cidades do Rio de Janeiro em 2005 e em várias cidades do Espírito Santo em 26 de setembro de 2007, este último afetando milhões de pessoas. Segundo a reportagem do jornal O Globo publicada na época, o apagão afetou também cidades do Norte do Rio, embora tenha se concentrado no Espírito Santo.

Lewis explica ser comum casos de extorsão por parte de hackers, mas que geralmente as empresas preferem não divulgar os ataques. A invasão, nesses casos, é feita por pequenos grupos de criminosos cibernéticos equipados com bons computadores. Ele informa que há ataques conhecidos a empresas americanas e inglesas.

“Sabe-se que a máfia russa, chineses e até brasileiros realizam ataques do gênero. Eles pedem dinheiro e, se não forem atendidos, derrubam o sistema”, afirma. “Não dá para saber se o último apagão foi causado por hackers. Mas certamente esta é uma possibilidade”, frisa.

Alan Paller, diretor de segurança do Sans, um megainstituto americano de treinamento e certificação na área de segurança, confirma que casos de extorsão respondem por uma grande parcela dos crimes cibernéticos.

“Não tenho informações de bastidores sobre esse caso. Mas é sim possível que um hacker tenha gerado o apagão. Ataques a empresas de serviço público são cada vez mais comuns”, afirmou Paller, ressalvando que as empresas, especialmente na área de defesa e de serviços públicos, quase nunca admitem que seus sistemas foram invadidos, preferindo ficar com o prejuízo.

Ele cita casos clássicos de extorsão como o roubo, no início do milênio, de um milhão de números de cartões de crédito nos EUA. Algumas empresas chegaram a pagar 100 mil libras para não ter os dados revelados. Outro ataque famoso afetou o setor de jogos, e um terceiro, uma organização médica americana ameaçada de ter os dados dos pacientes divulgados. O quarto caso, diz, foi o anúncio da CIA de que hackers provocaram apagões.

“Muita gente acaba pagando”, diz.

O ministro de Minas e Energia, Edison Lobão, não quis comentar a possibilidade de o apagão ter sido causado por algum hacker, mas afirmou que tudo será averiguado. Furnas também nega. Segundo a empresa, em 2007 a causa do apagão foi a poluição acumulada sobre os cabos de energia por conta da falta de chuvas na região por cerca de oito meses. O ex-presidente da Eletrobrás e atual diretor da Coppe/UFRJ, Luiz Pinguelli Rosa, afirmou em entrevista à GloboNews não acreditar que o apagão de terça-feira tenha sido causado por algum tipo de sabotagem. Posteriormente, acrescentou que aparentemente não havia danos físicos no sistema, como a queda de uma torre por um raio. O diretor de Itaipu, Jorge Samek, informou que o apagão pode ter sido causado por alterações climáticas.

Fonte: http://portal.rpc.com.br/gazetadopovo/apagaonobrasil/conteudo.phtml?tl=1&id=943237&tit=Fontes-da-CIA-afirmam-que-ataques-de-hackers-ja-provocaram-ao-menos-dois-apagoes-no-Brasil

Colaboração: Marcos Lisboa

Técnicas anti-forense para ocultação de dados – Parte 2

Colaboração: Alexandre Stratikopoulos

Nesta segunda parte do artigo sobre técnicas anti-forense, abordaremos algumas opções para ocultação de dados na Camanda de Hardware.

O disco rígido, independente do funcionamento dos sistemas operacionais, parece ser um bom local para ocultar dados confidenciais. O processo investigativo e de análise de um disco deve iniciar-se com a obtenção de informações sobre sua geometria e configuração, seguida pelo processo de geração da imagem bit-a-bit do dispositivo.

A seguir, abordaremos 2 áreas do disco que podem ser usadas para ocultação de dados.
                       MBR
                       ===

Dentre as áreas não acessíveis pelo usuário comum, está a MBR. Como indicado abaixo, é uma prática normal as tabelas de partições (do MBR ou da partição estendidas) começarem na cabeça 0, setor 1 de um cilindro, e o primeiro
setor da primeira particão começar na cabeça 1, setor 1 do cilindro.

A consequência dessa prática é a existência de setores não utilizados entre o setor da tabela de partições e início da primeira partição. Esses setores podem ser utilizados para esconder informações, sem qualquer risco de serem detectadas pelo uso normal do sistema de arquivos.

As informações armazenadas em áreas não acessíveis através de um sistema de arquivos podem ser extraídas por meio de raw I/O, utilizando-se, por exemplo, o comando dd e o device node (ou a imagem em arquivo) correspondente ao disco analisado, como ilustrado a seguir:

 # dd if=/dev/sda of=image.sda bs=512 skip=1 count=62
 62+0 records in
 62+0 records out

No exemplo anterior, o comando dd é usado para extrair o espaço não utilizado entre o MBR (setor 0) e o setor de boot da primeira partição do disco (setor 63). A informação é extraída do disco /dev/sda e é preservada no arquivo binário image.sda. As opções bs, skip e count são utilizadas para instruir o comando dd a copiar 62 setores de 512 bytes, a partir do setor de número 1.

                       MBR
                       ===

A Host Protected Area (HPA) é definida como uma área protegida em um disco rígido, sendo introduzida como um recurso opcional no padrão ATA-4 em 1998 e atualmente, a maioria dos discos rígidos suportam esse recurso.

Este recurso é muito usado por fabricantes de notebook para armazenar imagens do sistema atual, bem como ferramentas de recuperação e diagnóstico. Seu principal objetivo é prover a recuperação do sistema a partir de uma imagem padrão. Se a HPA está sendo utilizada para este propósito, é possível que o investigador forense encontre evidências de dados ocultos nesta área.

Na prática, seu disco tem um espaço maior do que a área utilizada pelo sistema operacional e existem algumas ferramentas gratuítas, como hdat2, que são capazes de acessar e modificar o conteúdo da HPA de um disco.

Para verificar se seu disco tem a HPA habilitada, pode-se utilizar a ferramenta hdat2, como no exemplo abaixo:

No exemplo abaixo, um disco que para o sistema operacional é exibido como sendo de 125G, na verdade tem mais 125G alocado para a HPA.

                       Conclusão
                       =========

Normalmente, quando a informação é armazenada tanto na HPA, ela não é acessível pelo BIOS, sistema operacional, ou pelo usuário. No entanto, algumas ferramentas podem ser usadas para acessar e modificar seu conteúdo.

Dado o potencial de colocar esses dados em áreas escondidas, esta é uma área de preocupação para os peritos computacionais.

Espero que isso não seja mais “grego” para você!!

Artigo publicado originalmente em http://gregoweblog.blogspot.com/2009/11/tecnicas-anti-forense-para-ocultacao-de.html

Fonte: www.dicas-l.com.br