Download
1 / 16
160 likes | 274 Vues
PERÍCIA EM INFORMÁTICA. Aula 07 – Principais desafios em exames forenses em dispositivos de armazenamento computacional Curso de Sistemas de Informação. Prof. Diovani Milhorim. Exames em dispositivos de armazenamento. E xames em dispositivos de armazenamento.
E N D
PERÍCIA EM INFORMÁTICA Aula 07 – Principais desafios em exames forenses em dispositivos de armazenamento computacional Curso de Sistemas de Informação. Prof. Diovani Milhorim
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Durante a perícia em dispositivos de armazenamento algumas dificuldades podem ser enfretadas pelo técnico, tais como: • Quantidade de arquivos analisados. • Existência de senhas • Engenharia reversa • Criptografia • Esteganografia
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Quantidade de arquivos analisados. Um sistema operacional moderno pode ter até mais de um milhão de arquivos. Como localizar as evidências requisitadas? • Uso de filtros (KFF, autopsya, etc... • Busca por palavras chaves • Requisitos bem definidos (saber o que se procura)
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Existência de senhas • É comum se encontrar arquivos protegidos por senhas( zip, pdf, word, etc...). Neste caso será necessários se “quebrar” a senha por meio de técnicas específicas, tais como: • Ataque de força bruta • Ataque de dicionário • Utilização de rainbow tables • Engenharia social
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Existência de senhas • Ataque de força bruta Descoberta de senha por método de tentativa e erro, em que todas as combinações de um domínio predefinidos são testadas até que se acerte a senha. Dominio: parâmetros para composição de candidatos a senha. Ex: número de caracteres Maiúsculas e minúsculas Uso de caracteres especiais.
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Existência de senhas • Ataque de força bruta Demanda muito esforço computacional e pode demorar muito tempo. O uso de softwares especiais para a tarefa é necessário. Ex: • Passware kit enterprise • Password recovery bundle • AdvancedZip Password recovery • AdvancedRar Password recovery • Advanced Pdf password recovery • Password recovery kit • Ophcrack (recuperar senhas de sistemas op. Microsoft)
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Existência de senhas • Ataque de dicionário Outro método de tentativa e erro, mas diferente do método de força bruta o domínio de senhas é constituído de palavras prontas. Tais palavras são armazenadas em uma lista chamada de “dicionário”. Geralmente são mais eficientes do que o ataque de força bruta desde que o dicionário utilizado seja adequado. Uma boa proposta é gerar o dicionário com palavras extraidas do dispositivo analisado. O FTK possui dicionários que podem ser baixados da internet.
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Existência de senhas • Engenharia social: Consiste em descobrir a senha de arquivos e sistemas a partir de entrevistas com as pessoas envolvidas no caso. • Em alguns casos pergunte a senha. • Em caso de senhas de softwares utilize senhas default de fabricantes.
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Existência de senhas • Rainbow tables: Softwares que se utilizam de tabelas de hash pré compiladas. Trata-se de um método de tentativa e erro para senhas que se utilizam de hash para encobrir seu conteúdo. Onde achar: • Freerainbowtables.com • Rainbowtables.shmoo.com
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Engenharia reversa e alteração de código fonte Engenharia reversa. “Processo que consiste basicamente em analisar um programa, a fim de criar uma representação de alto nível, ou seja, recuperar um projeto de software para que ele possa ser entendido.” Pressman(2006)
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Engenharia reversa e alteração de código fonte Engenharia reversa. Consiste em analisar arquivos executáveis de um programa, alterando seu código, com o objetivo de suprimir a necessidade de senha para acesso a este programa. Processo muito técnico e minucioso que exige conhecimentos específicos do perito. Uso de softwares especializados geralmente é necessário.
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Criptografia Criptografia é uma técnica utilizada para transformar uma informação na sua forma original para outra ilegível. Algoritmos complexos são estudados e inventados a fim de proteger as informações e dificultar o processo inverso. Cabe ao perito vasculhar o dispositivo de armazenamento a fim de localizar algum software de criptografia.
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Esteganografia • Técnica que consiste de ocultar uma mensagem dentro de outra. • Enquanto a criptografia tenta codificar o conteúdo, a esteganografia tenta “camuflar a mensagem”.
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Esteganografia • Exemplo: técnica extremamente simples de esteganofria. Frase: Onde um ritmo ouve sinos Primeira letra de cada palavra: OUROS
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Esteganografia • É comum o uso de esteganografia com criptografia, gerando mensagens de decodificação extremamente difícil. • O primeiro passo na decodificação é descobrir os métodos utilizados.
Exames em dispositivos de armazenamento • Exames em dispositivos de armazenamento. • Prática: • Uso do Passware Kit enterprise.
