Helix 2.0

A versão atual do Helix demorou bastante para chegar. Seus usuários aguardaram de julho de 2007, quando a versão 1.9a foi lançada, até setembro de 2008, quando essa release foi liberada. Muitas mudanças foram feitas, e mesmo a base do Live CD foi mudada.

Criado e mantido pela equipe da e-fense (liderada por Drew Farrel), o Helix 2.0 (chamado de Helix3) é baseado no Ubuntu e conta com uma parte destinada à Resposta de Incidentes, em Windows. Em relação aos itens curriqueiros, o Helix está em excelente forma: o desktop é baseado no Gnome, limpo, menus bem montados e revisados, sem itens desnecessários; Firefox como browser, OpenOffice na parte de software para relatórios (office). Tudo indo muito bem ...

Entretanto, nem tudo são flores nessa nova versão. Algumas pequenas coisas ficaram de fora, e apesar de serem pequenas, demonstram que não houve tanto cuidado na montagem da nova versão, pelo menos o cuidado de portar alguns bons detalhes da versão anterior. O log do shell não é mais automático, os "alias" não funcionam mais e mesmo coisas simples, como o esquema de cores do ls, agora é preto e branco e olhe lá ... Como eu disse antes, são apenas detalhes, mas que facilitavam bastante a vida.

Fora dos pequenos detalhes está a documentação. Ela não está coerente com o que percebi, na prática. Vários utilitários não estão mais instalados no Helix, e no entanto nada ficou indicado na documentação (por ex: Air, sdd, mac-robber, magicrescue, fatback e outros). Por outro lado, há também novos utilitários não documentados (ntfsundelete, arping, regtool, e outros).

Bem, reclamações a parte (e devidas, afinal, o Helix precisa manter a sua posição de melhor ferramenta forense com distribuição livre), o Helix é um dos melhores e mais completos ambientes para trabalharmos. Contém utilitários e ferramentas para praticamente todos os tipos de investigação e análise, incluindo forense de memória, de browser e de rede. Também disponibiliza ferramentas de aquisição de imagem nos formatos mais utilizados atualmente.

Resposta a Incidentes

Algo que faz esse live cd ainda mais útil é a sua parte dedicada à Resposta a Incidentes. Baseada em Windows, ela contém diversos utilitários que permitem fazer levantamentos de importantes informações. Possui tanto ferramentas usadas em conjunto (caso do WFT) como aquelas usadas isoladamente (diversas da Foundstone, SysInternals - agora Microsoft, etc).

Pontos Positivos

- Boa documentação
- Interface para Resposta a Incidentes
- Muitos utilitários

Pontos Negativos

- Ausência de ferramentas mais novas (PTK, por exemplo)
- Poucas atualizações (não são frequentes)
- Está migrando para opção de suporte pago

Comentários ???

Até o próximo post !!!

FCCU 12.1

Há pouco a dizer sobre o FCCU. Não entenda isso como um comentário ruim. Na verdade, o FCCU é, de todos os avaliados até agora, o Live CD mais completo. Não tem um programa ou utilitário exclusivo, como o PlainSight ou o Caine, mas a quantidade e a variedade de utilitários presentes no FCCU são de impressionar. Criado por Chirstophe Monniez, da Polícia Federal Belga, o FCCU já está em sua versão 12.1 e recebe em média 3 atualizações por ano. Ele é baseado no projeto Debian e também conta com uma pequena parte acessível pelo Windows, com utilitários de captura de memória.

Depois do boot

Logo após a carga do FCCU, uma sessão do browser é aberta com uma documentação detalhada e atualizada de todos os utilitários do produto, bem como algumas outras informações técnicas. O browser não é lá essas coisas, já que o Iceweasel, o NetSurf e o IceApe não são comparáveis ao Firefox. Na parte de softwares para office, no menu apenas o Calendar. O desktop, baseado no xfce, possui alguns poucos ícones. O menu poderia ganhar uma arrumada, já que poucos utilitários tem menu e acabei achando um submenu Games perdido por lá.

O verdadeiro poder do FCCU, no entanto, ainda não pode ser medido pelo menu. Ele tem uma coleção de utilitários que é a mais completa de todos os que foram analisados até agora. Ainda não analisei o produto criado pela SANS (SIFT), do qual tive boa impressão, mas com o recente "downgrade" que o Helix sofreu, o FCCU é um sério candidato à coroa de "melhor Live CD Forense". Pretendo postar um artigo com dados mais detalhados, mas só para dar uma noção, ele oferece cerca de 10 utilitários de aquisição de imagem forense raw, sem contar os que vem com a libewf e afflib, nem com as interfaces (Air, GuyMager, etc). São 6 carvers, 14 ferramentas de recuperação de sistemas de arquivos (Fat, NFTS, ext2 e até um FS da IBM). É o único até agora a oferecer fuzzy hash (ssdeep) e o browser history viewer, um utilitário que disseca history de web de vários tipos de browsers. 14 utilitários dão conta de tratar arquivos de Windows/MSOffice, e quase 30 utilitários de rede, contando com o Wireshark e o nmap. Os 16 utilitários de quebra de senha, incluindo john the ripper e OphCrack, além da recente inclusão do Volatility, fizeram o FCCU colocar a mão na taça ...

Apesar de tímida, o FCCU fez sua primeira incursão na área de disponibilizar utilitários Windows. O Live CD tem uma área onde podemos contar com o mdd e o win32dd, ambos para capturarem a memória da máquina. Não chega a ser um Helix, mas já ajuda bastante.

Pontos Positivos

- Quantidade de atualizações por ano;

- Versão estável;

- Está acompanhando a evolução da Forense Computacional, lançando ferramentas novas com bom timing;

- Quantidade e variedade de utilitários;

- Documentação

Pontos Negativos

- Ausência do Firefox

- Teclado configurado para Belga. Tem que usar o setxkbmap us para transformar o teclado em International

- Menu meio pobre de opções. Um trabalho como o FDTK fez seria excelente, dado a quantidade de ferramentas disponíveis.

Comentários ???

Até o próximo post !

Helix está roendo a corda

Demorou, mas o que eu temia acabou acontecendo.

Recebi um email ontem com a notícia de que o Helix não tem como ser bancado pela e-fense, e os donativos foram abaixo do esperado, o que os forçou à algumas mudanças ...

Foi criado o Helix3 Membership. Se você resolver por contratar esse novo modelo antes de Abril, vai pagar 179 doletas por ano. Se demorar e contratar depois disso, vai ter de desembolsar 239 doletas. O que ganha quem paga isso ?
* Suporte pelo site
* Manual
* Créditos para futuras compras
* Acesso a artigos
* Acesso a webinars
* Serão os primeiros a ter acesso ao Helix3 Pro, que sairá em Abril.

Não ficou muito claro se o live CD vai continuar por muito tempo sendo free. O fato é que o suporte, a partir de agora, só pela Helix3 Membership.

Isso está me parecendo mais um passo na direção de tornar o Helix uma ferramenta paga. O que você acha ? Quais seriam os impactos disso na comunidade de Forense Computacional ?

Comente !!!

Até o próximo post !

Problemas na terra do Tio Sam

Dois artigos no blog da SANS me chamaram a atenção recentemente. Ambos tratam de algo que já comentei há algum tempo aqui no blog, sobre uma lei lançada em alguns estados nos Estados Unidos onde exige-se uma licença de Private Investigator para trabalhar com Forense Computacional. Nem é preciso dizer o quanto de ruído que deu essa lei por lá. O mais interessante é que agora, quase um ano depois, já podemos ver claros desdobramentos da lei e os problemas colaterais que ela causou. Alguns são surreais ...

- No Texas, uma empresa que opera sinais de trânsito e câmeras de vigilância foi taxada como estando violando a lei porque essa atividade exigiria a tal licença de PI, e a empresa não tinha. Isso tudo porque a empresa usa as imagens como evidencia em processos judiciais.

- Isso desencadeou um efeito cascata, porque todo mundo que foi multado por lá a partir de imagens dessas câmeras alegou que tal evidência deveria ser inaceitável, por ser ilegal. Estão querendo o dinheiro das multas de volta ...

Surreal, não ? Mas ainda não acabou !

- Em Michingam, essa lei foi posta em prática imediatamente. Vários "Computer Forensics Practitioners", como eles chamam os peritos/praticantes de Informática Forense, tiveram de largar casos em que estavam trabalhando do dia para a noite. A lei considera crime doloso quem investiga ou faz perícia envolvendo Informática e não tem a tal licença, e ainda por cima não considerou nenhum caso de "grandfathering" (alguma regra que garanta licença automática para os que tenham n anos de experiência, ou algo parecido).

- Nos casos em Michigam, algo que foi bastante criticado é que a nova lei não criou condições ou requisitos novos para quem já tinha a licença de Private Investigator. Ou seja, na intenção de proteger a qualidade dos resultados das perícias, exigindo a licença, acabaram dando um tiro no pé ao autorizar quem não tem o mínimo de conhecimento a fazê-lo só porque já tinha a licença antes da lei.

- A lei chegou por volta de maio de 2008, mas em outubro ainda havia muita gente dizendo que faltava informação sobre quais seriam os requisitos a serem apresentados que qualificariam para receber a licença. Somente então decidiram criar um grupo de trabalho para discutir a questão.

- Durante a discussão, percebeu-se que os requisitos atuais para a licença de Private Investigator (são vários, mas entre eles está ter feito uma graduação na área de justiça criminal ou administração policial, ou ainda ter experiência anterior como agente da lei) eram muito onerosas para quem somente faz ou atua com Forense Computacional.

- Entre os requisitos que acabaram ficando estão ser um CISSP (ou CISA, CISM, etc) e uma certificação forense específica que envolva teoria, prova escrita e prática. No fim das contas, o requerente precisará ser um CISSP + SANS GCFA Silver ou Gold. Isso da noite para o dia.
Levando-se em consideração que muita gente tem essa atividade como ganha-pão, já podemos ter uma idéia de como as coisas ficaram por lá.

Ah, antes que você imagine alguma esperteza do tipo "basta se mudar de lá", esse tipo de lei está virando moda ... Vai ser difícil correr, hein ?!?

Comentários ???

Até o próximo post !

DEFT 4.1

A notícia da dificuldade de continuidade do Helix foi (está sendo, na verdade) uma pancada dura para a comunidade forense de informática. Apesar disso, nunca surgiram tantos Live CDs dedicados à Forense Computacional como nos últimos 6 meses. E não foram só criados, eles foram e vem sendo atualizados com frequência. Já falei do Caine e do FDTK, e ressaltei que entre postar sobre a liberação deles, por volta de novembro, e agora, ambos já ganharam versões novas. Isso é bom e estimulante. Serve para diminuir a sensação ruim que a notícia do Helix deixou. No entanto, isso não ficou restrito aos dois aí. O DEFT entrou no ritmo, lançou desde novembro a versão 4.01 e já disponibilizou, há poucos dias, a versão 4.1. Também já está no site do projeto o que se espera para a versão 4.2, prometida para março agora, e a versão 5, que virá para novembro. É a italianada a todo vapor !!! (só para relembrar, o Caine, o DEFT e o PTK estão vindo do país da bota ...)

O DEFT já começou bem. Apesar de não ser feito por uma equipe que tem como principal idioma o inglês, o DEFT já começa requisitando qual teclado o investigador vai querer usar. Esse é um detalhe, mas mostra uma boa preocupação. O Caine e mesmo o FDTK caíram nesse quesito, e setaram o teclado diretamente para italiano e abnt, respectivamente.

Da mesma forma que o FCCU, o DEFT não vai direto para a interface gráfica. Logo que sai do boot, você vai para a velha e boa linha de comando. Bom, pelo menos é root ...

A interface gráfica precisa ser acionada com o comando DEFT-GUI. O que vemos em seguida é o desktop do xfce 4, quebrando a sequência que vimos até então (todo mundo estava usando GNome).

Já no desktop podemos ver a força do DEFT. Além dos tradicionais Autopsy/Sleuthkit, do Firefox e do Ophcrack, a presença do Dhash e do Xplico dão um tempero que só o DEFT tem. A parte de rede está bem representada pelo Wireshark, e embora eu não veja tanta utilidade para o Nessus em Forense Computacional, ele também faz parte desse grande Live CD. O ClamTK, interface gráfica do ClamAV, completa o bom conjunto dos ícones do desktop.

Especificamente sobre os dois programas inéditos comentados acima, o Dhash é uma interface gráfica que permite conferir o hash md5, sha-1 e SFV de um arquivo ou um dispositivo de armazenamento. Já o Xplico é um decoder de tráfego de rede que tem até site próprio. Falaremos de ambos à frente.

O restante do menu não traz grandes novidades. O melhor dos utilitários está mesmo no desktop. Uma ausência são os utilitários do OpenOffice, que acabaram sendo representados pelo Calendar e Gnumeric Spreadsheet.

DHASH

O Dhash é uma interface gráfica que permite obter o hash de um arquivo ou de um dispositivo (HD) em 3 opções diferentes: MD5, SHA-1 e SFV. Para quem está se perguntando por que isso, já que temos md5sum e cia, a resposta: O Dhash é útil para quem precisa de mais de um registro de hash. Usá-lo é muito mais rápido do que usar o md5sum seguido do sha1sum. Quem usava o Helix 1.9 vai lembrar do 2hash, que faz a mesma coisa, mas é CLI.

XPLICO

O Xplico é um componente ilustre. É um projeto grande, tem site próprio e está prometendo decodificar tráfegos que nem o Wireshark decodifica. Ele pode ser usado tanto pela linha de comando como pela sua interface. Nos dois casos, é possível capturar e analisar um tráfego imediatamente (realtime) ou então analisar a partir de um arquivo pcap capturado anteriormente.

Para usar a interface gráfica do Xplico, é necessário clicar no ícone de start. Ao fazê-lo, alguns processos são iniciados e o Xplico fica acessível a partir do Firefox.

Após o clique no ícone do Xplico, há uma tela de login:

Logo em seguida, o Xplico exibe a lista de casos e a opção de criar um caso novo.

Criar uma Session of Listening (SoL) é indicar qual ou quais arquivos pcap fazem parte dessa sessão:

Em seguida, o Xplico analisa o arquivo, usa vários "dissectors" para identificar e decodificar conteúdos que transitaram na conexão capturada.

Emails:

Sip Calls:

HTML:

Imagens:

Impressão via rede:

Uma observação: Analisar em tempo real somente está disponível em console-mode (linha de comando).

Pontos positivos

- Só carrega a GUI se o investigador requisitar;

- Atualizações constantes e um roadmap claro e publicado;

- Produtos muito bons e exclusivos, como o Xplico;

- Boot mais rápido que os demais;

- Forte candidato a substituto do Helix, se este realmente sair de produção.

- Disponível para USB, em breve.

Pontos negativos

- Não há utilitários para configuração de rede;

- Alguns utilitários importantes não estão no projeto (análise de atividade de browser, forense de memória, e outros).

Comentários ???

Até o próximo post !!!

Tem PTK novo na área

A turma da DFLabs disponibilizou a mais nova versão do PTK. Agora na 1.0.5, ganhamos:

- Melhorias na seção de Live Search
- Melhorias no suporte a imagens split (aquelas onde você, ao capturar a imagem, quebra-a em diversos "pedaços", ideal para backup em CD, DVD, etc).
- Melhorias na capacidade de filtragem.

Vale a pena conferir essa solução, que é uma alternativa (por que não dizer, melhor) ao Autopsy para Interface Gráfica do Sleuth Kit. Ainda por cima, se quiseres ficar com água na boca, dê uma olhada no roadmap para 2009.

Alguém já testou e gostaria de comentar ?

Até o próximo post !

Caine 0.4

Entre o último artigo que escrevi sobre o Caine e hoje temos pouco mais de um mês, e a versão do Caine já foi atualizada. Bom sinal.





Caine significa Computer Aided Investigative Environment e tem o Ubuntu 8.04 como base. Foi criado na Itália por Giancarlo Giustini e é mantido em um projeto da Universidade de Modena. A idéia do Caine, semelhante a do PlainSight (avaliado recentemente aqui no blog), é a de prover uma interface amigável para ferramentas open source. Uma idéia muito boa, até porque com a quantidade de ferramentas que existem por aí, vamos precisar de ajuda desse tipo para lembrar como se usa e para quê serve cada uma delas. Um dos objetivos expressos do autor é prover uma interface gráfica que conduza o uso das ferramentas de forma lógica, guiando o processo de aquisição e análise, e ainda possibilitando a documentação do procedimento de forma "mais-ou-menos" automática.

Logo após o boot




A primeira impressão do Caine é muito boa, e dado o fato da versão ter sido atualizada em um curto espaço de tempo, fico com a impressão de que esse Live CD promete. Firefox como browser é um bom ponto, mas no entanto vai contra a corrente ao não oferecer o OpenOffice na parte de utilitários para office. Ao invés disso, a parte de documentos e planilhas fica com o AbiWord e Gnumeric, respectivamente. A interface gráfica é baseada no Gnome, como no caso do FDTK e outros, mas fora o comum do Ubuntu, somente o OphCrack me chamou a atenção. Ao que parece, a força total ficou pelo menu Caine.


Caine Interface




A interface principal está acessível pelo menu Caine. A tela principal já deixa claro que o pessoal é fã de carteirinha de CSI. Além da foto do personagem H. Caine, o tenente do CSI-Miami, uma das abas dessa ferramenta leva o nome de outro personagem famoso, Gil Grisson.


A única opção efetivamente válida na primeira aba é a de criar um relatório. Avançando, abre-se uma coleção de tabs. A principal mostra a data/hora de criação do report:


A próxima tab - Grisson Analyser - é onde podemos informar a path da imagem forense, seu offset (para o caso de estarmos analisando uma partição dentro de uma imagem física) e, a partir disso, executar alguns comandos. Mml, fsstat e imgstat são nossos velhos conhecidos do Sleuth Kit; o LRRP é um script shell que captura algumas informações do dispositivo informado (hdparm, scsitools, pcmciautils e outros. Esse script pode ser visto com detalhes aqui.

Adiante, a tab que nos espera é a Collection. Os dois de cima são interfaces já conhecidas de outros live CDs: O Air está disponível já há bastante tempo n0 Helix, enquanto que o GuyMager está no FCCU. Há também a opção de abrir um terminal com linha de comando.

Analysis é a próxima aba. Ela dispõe algumas ferramentas para análie de uma imagem forense. Autopsy é a interface gráfica para o Sleuth Kit, Foremost é uma ferramenta de carving. O SFDumper é um script shell que ajuda na extração de arquivos por extensão a partir de uma imagem forense. Esse script, inclusive, foi criado pela mesma turma que mantém o CAINE. StegDetect é um utilitário para análise de esteganografia, Scalpel é um outro carver, OphCrack é um cracker de senhas já comentado na primeira parte do artigo e Fundl é outro script criado pela mesma turma, para file undelete.

Por fim, a aba Report traz várias opções de relatório. As duas opções da esquerda criarão relatórios em italiano ou inglês, com as opções de formato em RTF ou HTML. Esses relatórios são coleções das saídas dos comandos das abas anteriores. Não é muito útil para nós, brasileiros, até pelo idioma, mas pelo menos dá para aproveitar a estrutura. A opção "Open report directory" vai abrir um programa tipo Gerenciador de Arquivos, diretamente no diretório onde você gravou o último relatório. A opção Personal Report cria um documento em branco com a data/hora no cabeçalho. A idéia é permitir que sejam incluídas anotações livres nessa página, devidamente registradas com data e hora.

Algo que senti falta ao operar o Caine foi um menu com terminal root, o que facilita no dia a dia de uma análise.

Pontos positivos

- Produto em desenvolvimento; Tem recebido atualizações frequentemente;
- A interface Caine pode ajudar aos novatos, principalmente na documentação do processo;

- Não usa swap nem monta o drive automaticamente;

- A turma do projeto troca figurinhas com outra turma/projeto muito bom, o DEFT (iremos abordar em breve). A versão 0.4 foi lançada depois de alguns comentários dessa turma.

Pontos negativos

- O teclado está configurado para o formato italiano. É necessário um comando setxkbmap para podermos usar nossos teclados corretamente;
- Poucos utilitários disponíveis;

- Pouca documentação;

- Ainda não oferece muito a ponto de ser escolhido para trabalhos mais sérios;

Comentários ??

Até o próximo post !

Melhore sua qualidade de vida

Vou interromper a sequência de avaliação de Live CDs, mas é por um bom motivo. Vou deixar uma dica aqui que pode melhorar sua qualidade de vida. Vou fazê-lo na forma de procedimento, ok ?

Vamos ao passo a passo:

1) Compre dois cases para HD SATA com conectores eSATA.

2) Compre um notebook com pelo menos um conector eSATA.

3) Use o tempo que você ganhou para algo útil, como a prática de esportes, ir a praia, namorar, etc ...

Eu explico:

Estava, até bem pouco tempo, pela mais pura preguiça, usando meu HD de destino, onde eu gravo as imagens capturadas, em um case externo ligado ao notebook pela USB2. Venci a preguiça para fazer um teste muito simples: Conectar o case ao notebook pela interface eSATA. Segundo as especificações, seria bem mais rápido que o USB, mas você sabe como é, preguiça de testar, preguiça de alterar o que já estava certinho ...

Meu teste foi muito simples: uma operação de hash MD5 em um arquivo de 80 Gb (uma imagem de um disco de 80Gb). Vamos aos resultados:

Com USB2:

real = 38m 12,215 s
user = 3m 59,755 s
sys = 1m 7,984s

Com eSATA:

real = 22m 42,154 s
user = 3m 35,457 s
sys = 59,984s

Fazendo um arredondamento grosseiro, a operação foi mais de 40% mais rápida com o eSATA. Em números absolutos, foram 16 minutos a menos.

Agora, veja só isso: Em uma investigação simples, fazemos no mínimo duas rodadas de hash na aquisição, algumas outras no decorrer do processo e várias operações onde há a necessidade de muitas leituras de HD. Se, para um disco médio de 80Gb, ganhamos 16 minutos por operação de hash, você acaba de poupar aproximadamente 2h no total de investigação na semana, o suficiente para 3 dias malhando 40 minutos, ou aquela partidinha de futebol de quarta à noite.

Viu só ? Acabei com a sua desculpa de não ter tempo para nada ... ;)

Mais alguns comentários sobre como melhorar a qualidade de vida dos peritos e investigadores digitais ? :))

Até o próximo post !

FDTK 2.0

O FDTK foi repaginado e ganhou algumas novidades da versão anterior para essa. A versão 2.0 adicionou alguns utilitários, eliminou outros e ultrapassou um problema que assola as versões de live cd: chegou a sua segunda distribuição.

O FDTK tem um algo a mais para os brasileiros, já que ele é o primeiro e único trabalho nessa área de live CDs disponibilizado por brasileiros e para brasileiros. Além da vantagem de usar o sistema na nossa língua, a turma da Unisinos está mais perto e acessível; Um dos criadores, o Paulo Neukamp, participa da nossa lista de discussões e é um bloggeiro aqui do blogspot.

As novidades dessa versão incluem não usar mais o SWAP (a exemplo do que o Helix faz), não monta automaticamente as unidades de disco encontradas (essencial para um live cd garantir integridade das mídias), os menus foram reescritos e, infelizmente, a remoção do pyFlag. Infelizmente porque o pyFlag é um dos melhores recursos free/open source que existem para Forense Computacional, e o FDTK era um dos últimos que ainda o trazia. Apesar disso, essa remoção é compreensível, pois não dava mesmo para fazer o pyFlag funcionar em Live CD.

Comentário offtopic: "Conversei" recentemente com o Dr Michael Cohen, criador do pyFlag, sobre a possibilidade de mantê-lo e distribuí-lo em um formato de máquina virtual, VMWare. A turma do SANS fez isso com o SIFT, achei a idéia excelente, e dessa forma poderíamos contar com uma ferramenta muito boa e instalada de forma correta. A resposta dele foi muito cordial, mas em sua opinião, esse é um formato difícil de manter, além de exigir muito espaço disponível. Sugeriu-me a versão do pyFlag para Windows, que já instalei e testei superficialmente (vai virar assunto para post, claro), mas ainda assim acho que poderíamos nos mobilizar e criar um projeto para disponibilizar uma máquina virtual com o pyFlag, o PTK e outras soluções mais novas.

Continuando, o nosso FDTK tem o menu semelhante ao do Helix, assim que é carregado. Além da estrutura completa do menu estar traduzida, outro ponto que ajuda bastante é a existência de entradas no menu para muitos, senão todos os utilitários, mesmo os de CLI (linha de comando):

Outro ponto importante é que ele não apresenta os mesmos sinais de mal acabamento do PlainSight. Não há menus com itens desnecessários, como Games.

A oferta de utilitários é vasta. A turma pesquisou bem, e há uma boa quantidade de utilitários disponíveis. Notei uma semelhança com o grupo de utilitários do FCCU, e posso apostar que ele esteve nas pesquisas do pessoal. Para se dar uma idéia, tem bem mais utilitários que o famoso Helix. Há alguns itens inéditos, como a interface gráfica do DC3DD. Em relação ao browser, o Firefox é o que está disponível.

Pontos positivos:

- Criadores acessíveis. Lembro-me que na minha primeira avaliação do FDTK 1, sugeri algumas coisas aqui pelo blog e por email, e o pessoal prontamente planejou a implementação;

- Interface em português;

- Grande parte dos utilitários acessível via menu;

- Continuidade da manutenção com a versão 2.0;

Pontos negativos:

- O teclado padrão é o ABNT2, o que é um problema para quem tem notebook comprado fora; Dá para mudar na hora do boot;

- Pouca documentação, principalmente um what's new detalhado (é questão de tempo, o Paulo tem trabalhado nisso);

- A parte de network forensics não recebeu muita atenção; Não achei nenhum utilitário específico para sniffer e verificação de pacotes;

Alteração em 19/1/2009: Em www.fdtk.com.br é possível encontrar a mais nova versão do FDTK, a 2.01. As releases estão saindo em prazos muito bons, e isso pode ser adicionado aos pontos positivos.

Comentários ????

Até o próximo post !

PlainSight

Como eu disse antes, tivemos um período bastante inspirador para a turma que gosta de criar Live CDs. Foram por volta de 5 ou 6, todos lançados na mesma época. Na ocasião, eu estava sem condições de analisar as ferramentas, mas enfim chegou a oportunidade, e vamos começar logo.

PlainSight

Está na versão 0.1, o que não é muito animador. Apesar disso, o trabalho ficou bastante interessante. O SO é o Knoppix, a interface gráfica é o KDE, e logo após a carga uma aplicação (o próprio PlainSight) conduz uma análise via uma GUI.

Há dois browsers disponíveis (Konqueror e Iceweasel), bem como menus para Konsole e outros utilitários. A presença de menus como Toys e Games mostra que o PlainSight, como live cd, ainda tem muito espaço para evoluir. Na verdade, o live cd está centrado na aplicação PlainSight.

O programa PlainSight

Ele funciona de forma parecida com o filtro do pyFlag. Você pode manter uma configuração pré-armazenada, ou pode optar por configurar o que vai ser uma varredura no disco local ou em uma imagem.

Na próxima aba, é possível configurar quais as buscas que o PlainSight vai operar. A base da maioria das operações é o registry, e está baseada no utilitário RegRipper, de Harlan Carvey. Algumas opções de tratamento de History Files de Browser também estão disponíveis.

A última aba atua na configuração do carving, alterando o arquivo de configuração do Foremost para realizar o carving apenas do que foi selecionado.

Uma forma de uso que seria interessante é compartilhar um diretório com imagens forenses e executar o iso do PlainSight a partir de uma máquina virtual (qemu, por exemplo) com "conexão de rede" com a máquina host. Mapeia-se o diretório compartilhado pelo PlainSight e a partir daí as imagens forenses ficam disponíveis para serem pesquisadas pelo programa PlainSight e outros que ele utiliza. Outra opção é montar na sessão do PlainSight o HD com a imagem forense e, a partir daí, usar o PlainSight normalmente.

Pontos positivos:

- A interface é boa;

- Boot rápido;

- Forense de memória disponível

Pontos Negativos:

- Versão 0.1;

- Praticamente a única coisa interessante é a aplicação PlainSight;

- Derivado de um trabalho de mestrado, não aparenta que vai ser mantido e atualizado com frequência;

- A versão do RegRipper e seus pluggins está defasada;

Comentários ???

Até o próximo post !!!

Resposta a Incidentes para gente grande III - F-Response Enterprise

O telefone toca na sua mesa. É o Analista de Suporte, indicando um possível incidente de segurança na máquina XPTO. Você é parte de um CSIRT, e consequentemente vai teria de ir até a máquina suspeita para fazer uma verificação ou constatação. O problema é que a mesma está em:
a) Outro prédio;
b) Outro estado;
c) Outro país;

Seja letra a), b) ou c), você estará com um deslocamento que levará algum tempo, e tempo nessa hora é tudo que você não tem.

Entretanto, como já comentamos antes, um CSIRT de gente grande já deu valor para a etapa de preparação, e previu esse caso. Através de um bom documento, com estudos de caso e análises de risco e impacto, mostrou a quem paga a conta que é necessário gastar alguns tostões agora, do que muitos depois por inabilidade de se responder a um incidente a tempo. Um dos softwares escolhidos para prover essa característica para sua organização foi o F-Response Enterprise. Com ele, você consegue realizar uma resposta quase que imediata, pois você se conecta de forma read-only na máquina suspeita através da rede, e tem acesso aos seus discos e memória. O tratamento do incidente, para identificação e contenção, pode ser feito na mesma hora. Como o seu time chegou nesse ponto ?

- A versão Enterprise do F-Response foi negociada e comprada. O ponto bom foi que a negociação independe do número de máquinas. Essa versão, diferentemente da versão Field Kit, é composta por dois módulos:

• O módulo que se instala nas máquinas da organização, que estará se conectando via iSCSI com a estação forense;
• O módulo de autenticação NetUnikey server, instalado na estação forense, onde se usa o dongle. É um módulo anti-piratão, basicamente.

- A turma de administração do parque de TI criou um script para instalação automática do f-response-ent.exe, que é o executável que fica pré-configurado em todas as máquinas, como um serviço que, quando iniciado, vai se conectar a máquina de análise (a estação forense do CSIRT). Houve inclusive a preocupação de se liberar previamente as comunicações entre as máquinas nas portas escolhidas para os módulos de iSCSI e Autenticação.


Pois bem. Sua equipe deu valor a etapa de preparação e o seu pagamento nesta hora é a tranquilidade. Você entra em contato com a equipe de administração do parque e requisita que o serviço do F-Response Enterprise Service seja iniciado na máquina suspeita. Nesse interim você conecta o dongle na estação forense, executa o F-Response Enterprise NetUnikey Server, clica no start e aguarda a turma lá da administração levantar o serviço que você pediu.

Assim que a máquina suspeita anuncia-se na aba Monitor do NetUnikey server, você inicia a segunda etapa da conexão, indo para o iSCSI Initiator.

Os passos dessa etapa são praticamente os mesmos dos já detalhados no post anterior, que falou sobre o F-Response Field Kit. A diferença é que neste caso, tudo que deveria ser feito na máquina suspeita (configurações de porta, credenciais de acesso, IP da estação forense, etc) já foi executado previamente pelo time da administração de TI, durante a distribuição do f-response-ent pelas máquinas.

Com tudo feito antecipadamente pelo lado de lá, resta a você a etapa de conexão propriamente dita da estação forense com a máquina suspeita. No iSCSI Initiator, você vai indicar o target (máquina suspeita) dando seu IP, porta e credenciais (aba Discovery). Na aba Targets, você vai se conectar ao disco rígido através do clique em Log On, fornecendo as mesmas credenciais criadas lá pela turma da administração.

No fim das contas, o disco rígido estará prontinho e read-only, como se estivesse local, bastando que você use suas ferramentas e utilitários de averiguação e análise normalmente. Tudo isso antes que você diga pindamonhangaba três vezes ...

Enquanto isso, a equipe de CSIRT que ainda não acordou para a importância da preparação estaria em casa separando as meias, pois irão passar alguns dias trancados no datacenter da unidade XYZ, mais de 1000 Km da matriz ...

Em qual das duas você quer estar ??? Comentem, pls !

Até o próximo post !

Resposta a Incidentes para gente grande II - F-Response

Vamos a um passo-a-passo de como usar o F-Response na Resposta a Incidentes.

Pode-se imaginar uma penca de motivos e aplicações para o F-Response. Alguns:

- O acesso à máquina suspeita pela rede já está estabelecido e é o único disponível;
- O acesso à máquina suspeita pela rede é possível, e para ficar melhor ainda, sua estação forense e a máquina suspeita possuem interface gigabit disponível.
- Várias máquinas são candidatas a passarem por uma aquisição do HD, mas como tempo é escasso, você vai usar o F-Response para recuperar algumas informações de forma segura para uma triagem;
- A máquina suspeita é daquelas que não se consegue desmontar facilmente para acessar o HD;
- A máquina suspeita é um servidor mega-super-ultra equipado em discos, e impossível de fazer um acquire;
- Você ouviu algo parecido com um "Ficou louco ?" logo após dizer que precisaria desligar aquele servidor suspeito de ter sido invadido.

Não importa o motivo, você está munido do F-Response versão Field Kit (a mais barata) e está pronto para usá-lo. O passo zero seria verificar o seguinte:

- A máquina suspeita e a estação forense (ou qualquer outra máquina usada para a análise) já deverão estar em rede;
- Qualquer firewall deverá ser desativado. Não queremos nada atrapalhando a comunicação entre as duas máquinas;
- A estação forense possui o iSCSI Initiator, ou porque já veio no SO (como no caso do Windows Vista) ou porque você já instalou previamente (como no caso do WinXP). Nota: É possível ativar a comunicação com o F-Response a partir do Linux, mas ainda não testei/usei dessa forma. Fica para sugestão de artigo ...
- Você deverá ter um pendrive com o utilitário do F-Response. No caso da versão Field Kit, ele é o f-response-fk.exe, e tem menos de 100kb;
- A máquina suspeita deverá ter pelo menos duas portas USB disponíveis. Uma para o dongle do F-Response e a outra para o seu pendrive com o utilitário;
- Saiba de antemão o IP das duas máquinas;

Depois de tudo isso, vamos dar início aos trabalhos:

1) Na máquina suspeita, conecte o dongle do F-Response e em seguida conecte o pendrive;
2) Execute o utilitário f-response-fk.exe;
3) Tenha certeza de colocar, na caixa "Host IP Address", o IP da máquina suspeita. Acima, o utilitário vai exibir o hostname dela;
4) Indique uma porta TCP para conexão. Em geral, fica 3260 mesmo;
5) Coloque um username de 8 caracteres e uma password de 14. Não dá para ficar sem preencher esses dados;
6) Clique em start. A máquina suspeita já está pronta para ser acessada.

Agora, vá para a estação forense:

1) Acione o iSCSI Initiator;
2) Na primeira aba (General), clique em Change e coloque no Initiator Node Name o mesmo nome de usuário que você colocou lá no utilitário do f-response;
3) Na segunda aba (Discovery), clique em Add. Vamos inserir os dados da máquina onde vamos nos conectar;
4) Entre com o IP da máquina suspeita e o número da porta indicado lá no utilitário do f-response. Clique em Advanced.
5) Marque a opção Chap Logon Information, digite o nome de usuário e a senha informados lá no utilitário f-response. Clique em Ok e Ok novamente. Você verá o endereço IP da máquina suspeita listado na Target Portals;
6) Se tudo correu bem, na terceira aba (Targets) você vai ver listados os discos físicos disponíveis para serem acessados. Eles estarão com estado Inactive;
7) Escolha qual disco deseja acessar, clique nele e em seguida, clique em Log On ...
8) Clique em Advanced. Na tela que abrirá, marque a opção Chap Logon Information, digite o nome de usuário e a senha informados lá no utilitário f-response. Dê Ok e Ok novamente.
9) O status do disco selecionado já deverá ter mudado para active, se tudo correu bem. A conexão read-only está estabelecida.

Após o passo 9, você já verá o disco no Explorer listado como disco local. Qualquer tentativa de modificação de dados nesse disco não terá efeito. Você está livre para usar qualquer ferramenta de coleta e/ou análise que esteja acostumado. Como o disco foi montado fisicamente, convém destacar dois pontos interessantes:

- Você terá acesso a diretórios que normalmente não são acessíveis a usuários, como por exemplo, o diretório do System Restore do WinXP ou os arquivos do Registry;
- Se você conectou um disco que tem mais de uma partição, todas elas estarão disponíveis.

Ao terminar, basta acessar a aba Targets do iSCSI Initiator, clicar em Details, marcar o item e clicar em Logoff. Ao retornar para a aba Targets, o disco selecionado voltará para o estado Inactive, e você poderá clicar em Stop no utilitário f-response da máquina suspeita.

Alguém gostaria de compartilhar as experiências com esse software ?

Até o próximo post !

Feliz 2009 !

Nada como começar o ano de cara nova. Por isso, passei o blog em uma reforma, e cá estamos com novo layout.

Como não poderia deixar de ser, ano novo sempre traz coragem para dar palpites. No meu caso, meu palpite para esse ano é que teremos um salto considerável em Forense de Browser e Forense de Memória. Este, porque é a maneira mais eficiente de se levantar artefatos que outrora estavam inacessíveis ou escondidos por rootkits. Aquele, porque cada vez mais temos o modelo de aplicações movendo-se para uso em browser, seja de um simples leitor de email até um ERP, passando por softwares de gerenciamento e SaaS.

2009 também será - espero - o ano do lançamento do meu treinamento em Informática Forense (Forense Computacional, ou outro nome como é conhecida essa mais-do-que-interessante ciência). Ô coisa para dar trabalho, esse negócio de escrever material didático ...

Alguém mais quer arriscar palpites para 2009 ?

Até o próximo post !