Anda di halaman 1dari 38

1

EDITORIAL

Nesta segunda Edição, a Revista Evidência Digital está Editor Chefe


trazendo aos seus leitores um ótimo trabalho apresentado no
curso “Introducción a la Informática Forense”, desenvolvido Andrey R. Freitas
pelos alunos da Universidad de los Andes (Bogotá –
Colômbia) sobre o F.I.R.E. : Forensic Incident Response
Environment. Editor Técnico

Andrey R. Freitas
Relacionamos também os principais cursos e eventos sobre o
tema Segurança/Perícia, dentre eles destacamos o 1ª Batori
Security Day : realizado pela empresa Batori Security em São Colaboradores desta edição
Paulo/SP, o curso Forense Computacional – Conceitos,
Técnicas e Ferramentas para Investigação e Perícia Digital : Andrey R. Freitas
realizado pela empresa Axur também em São Paulo/SP e o Camilo Vergara
ICCyber´2004 : I Conferência Internacional de Perícias em Carlos I. Ospina
Crimes Cibernéticos em Brasília/DF. F. F. Ramos
Igor Silva
Jaime A. Rojas
Agradeço a todos os colaboradores que enviaram seus artigos José Edmir P. Duque
para a conclusão desta edição e aos participantes do grupo Juan F. Carrillo
Perícia Forense Aplicada à Informática. Mauricio Rangel
Salomão de Oliveira

Boa leitura.
Artigos

Andrey Rodrigues de Freitas Se você deseja escrever artigos para a Revista


Criador / Moderador do grupo Perícia Forense Aplicada à Informática Evidência Digital envie um e-mail para
periciaforense@yahoo.com.br

Atendimento ao leitor

periciaforense@yahoo.com.br

Site

www.guiatecnico.com.br/EvidenciaDigital

Grupo de discussão

br.groups.yahoo.com/group/PericiaForense/

A Revista Evidência Digital é uma publicação


trimestral.

O conteúdo dos artigos é de responsabilidade dos


autores.

2
NOTÍCIAS

Preso suspeito de criar o cavalo-de-tróia Peep Coordination Center, da Universidade de Carnegie


Mellon.
Fonte: Plantão INFO
De acordo com o estudo realizado entre 15 e 26 de abril
As autoridades de Taiwan prenderam o engenheiro de deste ano com 500 participantes, 43% dos respondentes
computação Wang Ping-an, suspeito de ter criado o observaram uma elevação nos `e-crimes' em relação a
cavalo-de-tróia Peep, usado por hackers para roubar e 2003 e 70% relataram que pelo menos uma invasão ou
destruir dados confidenciais de sites governamentais de um crime digital foi cometido contra os sistemas das
países asiáticos. organizações onde atuam, no último ano. Já 30% dos
participantes disseram que não foram vítimas dos
Aparentemente, o engenheiro de computação, de 30 criminosos virtuais em 2003.
anos, não seria autor de nenhum dos roubos de
informações feitos por intermédio do Peep. Ele teria Quando questionados sobre os tipos de perdas sofridos
colocado o programa em sites de hackers, para com os crimes digitais, no ano passado, mais da metade
download gratuito, depois de tentar vendê-lo, sem (56%) apresentaram perdas operacionais, 25% tiveram
sucesso. perdas financeiras e 12% declararam outros tipos de
prejuízo. A média de crimes digitais e intrusões em 2003
A expectativa é que Ping-an, se condenado, pegue até foi de 136, segundo a pesquisa.
cinco anos de prisão. Analistas dizem que a questão
ganhou conotação de política internacional entre Taiwan Entre as tecnologias mais utilizadas para combater os
e China, uma vez que o cavalo-de-tróia também foi crimes digitais os firewalls estão em 98% das empresas,
colocado em sites chineses e usado por hackers para seguidos por sistemas de segurança física (94%) e
violar páginas oficiais daquele país. gerenciamento manual de correções de sistemas (91%),
pela criptografia de dados críticos trafegados (63%) e
Segundo a Symantec, o Peep ainda não foi encontrado pela criptografia de dados críticos armazenados (56%).
em computadores fora da Ásia.
Quando se fala de políticas e processos de segurança, a
auditoria é listada como o método mais eficiente por 51%
dos participantes e a gravação de conversas telefônicas
Hackers invadem site da Microsoft no Reino Unido dos funcionários é listada como a prática menos efetiva
(26%).
Fonte: IDG Now!

No dia 24 de maio a página de informações online da


Microsoft no Reino Unido foi hackeada e desfigurada. Forense computacional torna-se matéria obrigatória
para policiais europeus
A página Microsoft Press UK, voltada à imprensa, foi
invadida por um grupo autodenominado OutLaw Group, Fonte: CNN.com e Módulo Security Magazine
que deixou sua marca por alguns minutos antes do site
ser retirado do ar. Os policiais europeus estão retornando as salas de aula
com o objetivo de se aprender técnicas que ajudem na
A mensagem trazia as palavras "Owned by OutLaw prisão dos criminosos que agem pela internet. Por toda a
Group", criando um certo embaraço para a gigante do Europa, os investigadores procuram se especializar na
software. A Microsoft retirou do ar todas as páginas do forense computacional.
setor de imprensa, deixando a impressão de que o setor
inteiro estava vulnerável. No documento Forense Computacional: Aspectos Legais
e Padronização, elaborado por quatro especialistas do
Instituto de Computação da Unicamp (Célio Cardoso,
Flávio Oliveira, Marcelo Abdalla e Paulo Lício), este
conceito é descrito como "a ciência que estuda a
Crimes digitais causam prejuízo de US$ 666 milhões aquisição, preservação, recuperação e análise de dados
nos EUA que estão em formato eletrônico e armazenados em
algum tipo de mídia computacional".
Fonte: IDG Now!
Assim, os policiais estão preparados para vasculhar, por
Em 2003, invasões, ataques, disseminações de vírus, exemplo, um disco rígido de computador com o intuito de
spams entre outras atividades consideradas "crimes se encontrar evidências que tal máquina foi usada em
digitais" custaram cerca de US$ 666 milhões às um crime digital. As provas geralmente envolvem
empresas norte-americanas, revela a pesquisa "2004 E- programas desenvolvidos para invasão de outros PCs,
Crime Watch", conduzida pela revista CSO com o apoio ou ainda e-mails e logs de navegação pela internet que
do Serviço Secreto dos Estados Unidos e do CERT revelem o perfil do criminoso.

3
Valioso como um teste de DNA Entre as soluções que as empresas estão testando ou
pretendem desenvolver nos próximos 18 meses, os
Enquanto os criminosos utilizam novos dispositivos destaques são o gerenciamento de identidade e o
digitais e a internet para cometer seus crimes, que gerenciamento de vulnerabilidade.
variam da extorsão ao tráfico de drogas, as autoridades
policiais indicam que a forense computacional está se
tornando rapidamente tão crucial numa investigação Polícia pega spammer que usava nome do Unibanco
quanto a evidência do DNA.
Fonte: INFO
"Espero que a nova equipe de funcionários possa ter um
mínimo de conhecimento em forense computacional e de Um spammer de Campinas, que usava o nome da
software antes mesmo que eles entrem pela nossa corretora e de um diretor do Unibanco para espalhar
porta", afirma Marc Kirby, detetive da seção de forense mensagens sobre produtos que comercializa, teve seu
computacional da National Hi-Tech Crime Unit, divisão equipamento apreendido pela 4ª Delegacia de Crimes
de combate aos crimes digitais no Reino Unido. Eletrônicos de São Paulo no último dia 13 de abril.

Porém, esse desejo ainda está longe de ser realizado e Por ordem judicial inédita em caso de spam obtida pelo
as autoridades policiais continuam um passo atrás no Unibanco, a polícia apreendeu CPU, gravador de CDs e
combate aos crimes de informática. Dos 140 mil policiais DVDs, disquetes, conjuntos de CDs graváveis e cópias
britânicos, apenas mil trabalham com o tratamento de de software aparentemente piratas.
evidências digitais. Deste total, apenas 250 possuem alto
nível de conhecimento em forense computacional. A operação foi resultado de um trabalho de investigação
realizado durante quatro meses pelo banco. "Estudamos
Apesar dos problemas, a capacitação dos policiais na o perfil de atuação do spammer e fomos coletando
área tem demonstrado bons resultados. Cinqüenta e provas para apresentar à Justiça e pedir que o endereço
cinco investigadores da equipe de Marc Kirby foram do telefone fixo dele fosse revelado", diz Nilton Carvalho,
responsáveis pela prisão de 12 pessoas suspeitas da diretor de segurança do Unibanco.
prática de roubo pela internet e lavagem de dinheiro. O
dinheiro levantado pela quadrilha era obtido através do O equipamento apreendido foi encaminhado para a
roubo de contas bancárias por fraudes por e-mail perícia do Instituto de Criminalística. "Deve levar alguns
(phishing scam). meses até sair o resultado e podermos dar andamento
ao processo. Mas já consideramos uma vitória ter aberto
jurisprudência sobre a atuação dos spammers", diz
Carvalho.
Ataques de hackers ao setor financeiro duplicam

Fonte: Plantão INFO


Hackers brasileiros atacam site da Visa
O congelamento dos investimentos em segurança está
Fonte: Total Security e Arquivo Estadão
por trás do aumento de ataques de hackers ao setor
financeiro, os quais mais que duplicaram entre 2002 e
O grupo brasileiro de hackers Hax0rs Lab invadiu o site
2003, segundo pesquisa da Deloitte.
da Visa , na Islandia. Eles desfiguraram a página inicial e
deixaram uma mensagem ao administrador do site que
De acordo com a empresa de consultoria, o percentual
diz "Your files belong to me now" (Seus arquivos agora
de multinacionais do setor cujos sistemas foram
me pertencem). A Visa não informou se foram roubadas
invadidos aumentou de 39% em 2002 para 83% em
informações sobre seus cartões de crédito.
2003.
Ainda durante esta semana o mesmo grupo atacou a
A empresa de consultoria informa que 40% dessas
BMW, Fiat, Nestlé e TDK, explorando recente
invasões resultaram em prejuízos para as corporações.
vulnerabilidade encontrada num componente de
Também geraram entre os executivos dúvidas quanto ao
segurança do Windows.
alinhamento das estratégias empresariais com a
tecnologia de segurança utilizada.
O Hax0rs Lab, ou Laboratório de Hackers em bom
português, é conhecido como o campeão mundial de
Apenas um terço dos executivos que participaram da
ataques a sites - mais de 5 mil, de uma só vez, segundo
pesquisa considera que há esse alinhamento em suas
importantes publicações online como a BBC de Londres,
respectivas corporações. Outro terço acha que as
e a empresa britânica de segurança Mi2g.
soluções implantadas não estão sendo usadas de modo
eficaz.
O grupo é formado por dois estudantes que se
identificam apenas como F0ul e USDL, este último,
A grande maioria dos executivos, 70%, vê nos vírus e
acrônimo para "Um Sonho de Liberdade". Apesar de
worms a maior ameaça para seus sistemas nos próximos
suas diabruras, eles não se consideram marginais e
12 meses. Mesmo assim, o percentual das empresas
qualificam seus ataques como um protesto contra os
que desenvolvem medidas antivirus caiu de 96% em
males sociais e guerras injustificadas.
2002 para 87% em 2003.
4
ERÍCIA EM DISQUETE
Parte 2

Andrey Rodrigues de Freitas

No primeiro artigo, aprendemos como criar a imagem de um disquete utilizando o software da Runtime, o GetDataBack
for FAT. Agora iremos analisar e verificar se realmente não existe nada dentro do disquete, como disseram alguns
peritos.

Após iniciar o software GetDataBack for FAT (download em http://www.runtime.org), escolha a opção “Image files...” e
depois clique em “Next”, conforme a figura 1.

Figura 1

Algumas informações sobre o GetDataBack for FAT

Recupera dados de :

• Hard Drives (HD)


• Partições
• Floppy drives (disquetes)
• Imagens de hd’s ou disquetes
• Drives Zip/Jaz
• Drives remotos

Recupera dados dos seguintes sistemas de arquivos :

FAT12: geralmente associado com disquetes e hd’s não maiores que 16MB.

FAT16: usado em todas as versões do DOS, Windows 2.xx, Windows 3.xx, Windows 95 e versões do
NT.

FAT32: geralmente usado em hd’s maiores que 512MB no Windows 95 (OEM Rel. B), Windows 98, ME
e drives formatados no Windows 2000 e XP.

5
Clique no ícone “Image file...” (círculo azul da figura 2) e selecione a imagem criada no artigo anterior a qual chamamos
de Disquete.img (figura 2), e lembre-se : nunca se esqueça de documentar todos os passos do processo.

Figura 2

Após a imagem do disquete ter sido selecionada, o software irá analisá-la e apresentará algumas informações sobre o
arquivo, tais como : nome, tamanho da imagem, tipo de acesso, etc.. (figura 3). Depois clique em Next para passar ao
próximo passo.

Figura 3

6
No passo 3 (figura 4), escolha o sistema de arquivo a ser recuperado que fica na parte direita da tela, item “File system
to recover”, neste exemplo iremos escolher o FAT12 (Floppy in DOS/WIN/NT), há também a possibilidade de se analisar
a imagem inteira ou apenas partes da imagem na opção “Source drive”, escolha “Search entire drive”.

Figura 4

Vá ao menu Tools e escolha o item “Options...” (figura 5), selecione todas as opções (f igura 6). As opções mais
interessantes são : Recuperar arquivos deletados (Recover deleted files) e Recuperar arquivos perdidos (Recover lost
files). Feche a janela de opções e clique em Next para que o software analise a imagem do disquete.

Figura 5
7
Figura 6

Podemos observar na figura 7 o GetDataBack analisando todo o conteúdo da imagem e na figura 8 o resultado desta
análise. Clique em Next.

Figura 7
8
Figura 8

De acordo com o help do sistema :

• Name: The file system type (FAT12, 16 or 32).


• Cluster0: The position of cluster 0 in the file system.
• Cluster size: The number of sectors in one cluster. Possible values are:
for FAT12: 1, 2, 4, 8,
for FAT16: size of the volume/number of max. possible FAT entries (65535) rounded to the next possible value,
for FAT32: 8 for 512MB-8191MB, 16 for 8192MB-16383MB, 32 for 16384MB-32767MB, 64 for >32768MB.
• Total sectors: The total number of sectors in the file system.
• FAT1: If any: the start sector of FAT1, (the quality of the FAT, defined by the selected file system's range the FAT covers),
• FAT2: If any: the start sector of FAT 2, (the quality of the FAT, defined by the selected file system's range the FAT covers),
• FAT length: If any, the FAT's length in sectors.
• 1st root cluster: If any, the start cluster of the root directory (only available for FAT32 file systems).
• Root dir start: If any, the first sector of the root directory.
• # root entries: The max. possible number of root directory entries in this file system (FAT12 and 16 only).
• Total clusters: The total number of clusters in the file system.
• Min clusters used: The min. cluster range where data was found by the scan.
• Max cluster used: The max. cluster range where data was found by the scan.
• Data matches: Total number of matches of dir starts with file starts. This number determines the order of the file system list
in Step 4. The higher this value, the larger is the number of probably recoverable files.
• Debug info: B stands for boot record found, B0 for example means, that at least one boot record was found. D stands for
directories found, the following number states the number of directory structures found.
• Dir starts: Cluster areas where found directory entries are pointing to.
• File starts: Cluster areas identified to be a start of a file.
• FAT1 starts: Cluster areas where a beginning of a chain in FAT1 is pointing to.
• FAT2 starts: Cluster areas where a beginning of a chain in FAT2 is pointing to.

Encontramos algo que os outros peritos não tinham encontrado (figura 9), um arquivo chamado xCONVITE.DOC. Este
arquivo havia sido deletado momentos antes da chegada dos peritos, por isso não aparecia no Explorer e nem através
do MS DOS. O software além de mostrar que o arquivo havia sido apagado, também nos mostra algumas outras
importantes informações : o tamanho do arquivo (19.456), a data da modificação (10/09/2003 11:57:32), a data de
criação do arquivo (10/09/2003), etc..

9
Figura 9

Cor do arquivo Significado


filename.ext Arquivo ou diretório normais
filename.ext Somente leitura
filename.ext Sistema
filename.ext Hidden
filename.ext Compressão
filename.ext Deletado

Clicando com o botão direito do mouse em cima do arquivo e escolhendo a opção “Show info...” ou “Ctrl + I” (figura 10),
podemos ver as informações do arquivo (figura 11). Podemos afirmar que o arquivo foi deletado através da tabela acima
ou do campo Type: Deleted file.

Figura 10

10
Figura 11

De acordo com o help do sistema :

• Name: The display name of the file or folder.


• Short name: The short name of the file or folder.
• Long name: The long name of the file or folder.
• Type: The type (directory or file).
• Attributes: The attributes (a = archive flag, r = read only, h = hidden, s = system, l = volume
name, d = directory, c = compressed).
• Size: For files= the size of the file in bytes, for directories= the number of directories and files
in this directory, the size of the directory.
• First cluster: The first cluster of the file or folder.
• Last modified: The date/time the file was last modified.
• Created: The dat e/time the file or folder was created.
• Last accessed: The date the file was last accessed.
• Allocation by: Internal debug info.
• Found at cluster: The cluster where the file or folder entry was found.
• ID: Internal debug info.
• Clusters used: The cluster(s) where the data of the file or folder are located. The number in
parentheses shows the number of continuous clusters used. For example: 00E6(3), 00EA(6)
means that the data was allocated by using cluster 00E6 and the following two cluster and
cluster 00EA and the following five clusters.
• Sectors used: The sectors(s) where the data of the file or folder are located. The number in
parentheses shows the number of continuous sectors used. For example: 1102(4), 1166(4)
means that the data was allocated by using sector 1102 and the following three sectors and
sector 1166 and the following three sectors.

Se clicarmos de novo com o botão direito do mouse e escolhermos agora a opção “View” ou “F3” (figura 12), saberemos
o que há dentro do arquivo que havia sido deletado.

11
Figura 12

E finalmente descobrimos o que há dentro do arquivo (figura 13). Há também a opção de salvarmos o documento em
seu formato original através do “Copy...” ou “F5” (figura 12), conforme nos mostra a figura 14.

Figura 13

12
Figura 14

E finalmente, temos a prova em seu formato original (figura 15).

Figura 15

Conclusão : Para encerrar este artigo eu pergunto : Você tem certeza


que os disquetes que distribui para seus amigos ou
O GetDataBack da Runtime Software nos permitiu empresas parceiras não estão indo com informações
encontrar uma prova, onde através de métodos normais importantes ?
(Explorer e DOS do Windows) não eram possíveis. Com
apenas alguns cliques e um pouco de conhecimento é
possível sabermos se um disquete ou hd esconde
informações sigilosas. :: Andrey Rodrigues de Freitas
:: periciaforense@yahoo.com.br
Escolhi o GetDataBack por ser de fácil utilização e por :: Graduado em Processamento de Dados, Pós-graduado em
Computação Aplicada e Pós-graduado em Internet Security. Criador /
ser possível fazer o download do software no site da Moderador do Grupo de discussão Perícia Forense Aplicada à
Runtime. Informática.

13
14
GENTES DIGITAIS DO CRIM E

Salomão de Oliveira

Os vírus como eram conhecidos até bem pouco tempo Os agentes humanos, hackes ou crackers, deixo ao
atrás não existem mais. O que temos hoje são gosto de cada um, complementam, ou são
verdadeiros “agentes digitais do crime” ditos de alta- complementados, a equipe do mal cibernético, além de
tecnologia, o que nem sempre é verdade, como iremos determinarem quais serão as funções deste ou aquele
perceber no decorrer deste texto. agente ou equipe de agentes, que podem, dentre outras,
ser: capturar informações bancárias, como conta e
O termo “Vírus de Computador” foi cunhado por Fred senha; capturar senhas de sistemas; ataques por
Cohen, um eng. Elétrico da Universidade da Califórnia do motivos de ‘hacktivismo’; ataque à corporações por meio
Sul, em 1983. De lá para cá a situação só tem agravado, de DoS, DDoS – como ocorreu com a SCO e Microsoft
quer seja por conta do expressivo crescimento das redes recentemente com o Mydoom; disseminação de Spams,
compartilhadas, principalmente a Internet, pelo aumento espionagem industrial, comercial e pessoal.
da complexidade e tamanho dos sistemas operacionais e
aplicativos, e conseqüente aumento das falhas de É certo que até pouco tempo atrás muitos dos criadores
segurança, pela explosão da utilização de computadores de agentes eram motivados pela necessidade pessoal de
e sistemas tanto dentro das empresas quanto por conseguir ‘status’ dentro da sociedade underground da
usuários residenciais. Outro fator que tem facilitado a qual participava, mas isso vem, às vistas claras, sendo
disseminação destes “agentes” é a massificação de substituído por motivações criminosas, tais como fraudes
acessos com banda larga por usuários residenciais e bancárias; espionagens; utilização de computadores
pequenas empresas que, tanto um quanto outro, não têm zumbis, que aliás já formam um verdadeiro exército, para
infra-estrutura e nem conhecimento para proteger seu ataques DDos, disseminação de mais agentes,
ponto na rede. disseminação de spams etc.

Hoje a denominação VIRUS já não mais comporta o Muitos destes agentes utilizam engenharia social para
espectro de ações que estes agentes, como estou induzir a vítima, o usuário que recebe o e-mail infectado,
chamando aqui, estão habilitados a realizar, quer seja por exemplo. Um bom caso que retrata esta faceta dos
por funções inseridas nos códigos ou por comandos ataques por vírus é o do virus LoveLetter, que com seu
remotos aos quais estão prontos para receber a qualquer assunto (subject) mais famoso - I Love You, induziu
momento e em qualquer lugar. Vírus, Worm, Trojan, milhões de usuários (curiosos) a abrir o arquivo anexo ao
Keyloger, SpyWare, Fake e-mail; Phishing etc., fazem e-mail.
parte deste conjunto de agentes ao qual estou me
referindo, pois normalmente o criminoso – agente É comum os vírus se auto-enviarem para todos os
humano – utiliza um conjunto destes agentes digitais, endereços de e-mail encontrados no computador
uma equipe cibernética do mal, como ferramenta para infectado e até mesmo em áreas compartilhadas da rede,
praticar seus atos criminosos. e em muitos casos escolhendo um desses endereços,
que não o do dono do computador, para ser colocado no
Estes agentes ganharam, e continuam a ganhar, campo “remetente”. Isso traz dois problemas: o primeiro
promoções e novas atribuições a cada nova onda de é a dificuldade de saber de onde partiu o e-mail
versões, como se fossem a própria evolução do mal. infectado, pelo menos para os usuários comuns, e o
Começaram atacando arquivos executáveis, depois segundo é que muitos antivírus mandam uma resposta
sistemas de boot, arquivos de documentos com macro, automática para o remetente do e-mail infectado, o que
ataque a sistemas operacionais específicos, partindo tem causado grande confusão principalmente para
para disseminação em massa cada vez mais usuários e administradores de redes corporativas, pois a
rapidamente e ganhando funcionalidades que seriam quantidade de usuários que recebem mensagens
impensáveis há algum tempo atrás, como servidor alertando, indevidamente, que enviaram e-mails
próprio de SMTP, varredura inteligente de redes e infectados é imensa.
arquivos à procura de vulnerabilidades e informações,
além das técnicas de engenharia social aplicados a estes As fraudes bancárias recentes têm utilizado de maneira
agentes e à capacidade de burlar e até mesmo desativar assustadora o conjunto: hacker, spam; vírus, trojan,
sistemas de defesa, como firewalls e antivírus. keyloger, spyware e engenharia social. As últimas
quadrilhas presas por aplicar golpes financeiros em
Estamos prestes a entrar na era dos ‘agentes digitais clientes de bancos costumavam usar uma equipe destes
inteligentes do crime’, o que acontecerá em breve com a agentes. Não podemos esquecer dos ‘laranjas’, pessoas
evolução dos agentes com funções de Inteligência motivadas por ganho fácil que emprestam o nome para
Artificial (IA). as quadrilhas retirarem dinheiro fraudado dos bancos.
15
O hacker cria o trojan, spywares ou keyloger – ou Fora este, o hilário, ainda tem vários que se passam por
simplesmente utiliza os disponíveis livremente na mensagem de bancos, da Receita Federal, tem o que
Internet, cria os sites clones do banco e ataca servidores promete fotos da Playboy, viagens grátis pela Gol, meia
DNS para direcionar sites de bancos para sites clones; dúzia de e-mails falsos de cartões virtuais, outros que
os vírus transportam trojan, spywares ou o keyloger para oferecem senhas para sites pornográficos, dentre outros
a máquina das vítimas e os keylogers e spywares tantos.
capturam as informações como agência, conta e senha,
quer seja por teclado ou cliques de mouse. Contra esta equipe de agentes é necessário uma equipe
de contramedidas baseadas nos pilares PPT, Processos
(política de segurança)
Pessoas (educação) e
Processos
Tecnologia conforme
Política de Segurança ilustrado abaixo. Estas
contramedidas devem ser
dosadas de maneira a
Ponto de Equilíbrio atender as necessidades
e expectativas da
• organização e de
maneira que não se
desperdice recursos
Pessoas sempre tão escassos. Há
Educação e Treinamento empresas que são o f rtes
em tecnologia, mas não
têm política de segurança
e seu pessoal não têm
Tecnologia Aplicada à educação para a
Segurança segurança. A tecnologia
por si só não assegura o
nível de segurança
necessária, assim como as outras soluções possíveis,
A Engenharia social usada maciçamente em e-mails, a que não em conjunto, também não o assegurarão.
maioria escrito em português errado, induz o cliente a
entrar em sites falsos, e por conta própria entregar de Cabe ao Security Officer descobrir e receitar a dosagem
‘mão-beijada’ as informações necessárias aos golpistas, certa de cada contramedida e como elas irão se integrar
ou mesmo baixar arquivos infectados com trojans que para manter a segurança em níveis aceitáveis.
irão abrir backdoors nos computadores, possibilitando o
acesso pelo hacker para captura de informações
sigilosas ou mesmo enviarão estas informações aos
fraudadores por e-mail.

Um dos e-mails ao qual tive acesso já vinha com um :: Salomão de Oliveira


formulário onde deveria ser digitado código da agência, :: salomao_o@ig.com.br
número da conta, senha eletrônica (a da Internet) e a :: Analista de Segurança da Informação. Graduado em Administração
senha do cartão (a de seis dígitos). Feito isso os dados de Sistemas de Informações / Pós-Graduado em Internet Security
eram enviados para o fraudador terminar o ‘trabalho’. (Advanced School of Internet Security), MCSO.
Simples e rápido.

São vários os tipos de e-mails com intenção de induzir o


usuário incauto a baixar arquivos que possivelmente
sejam trojans. Um dos mais hilários é o que diz que o
destinatário está sendo traído. É inacreditável onde a
curiosidade pode levar as pessoas. Quando vi este e-
mail pela primeira vez não pude deixar de pensar na
atitude destinatário ao receber a mensagem: “Aquela
#@$!¨¨&¨@%#, bem que eu desconfiava”, e
imediatamente clica no link para ver as fotos prometidas
da suposta traição. Me pergunto: Será que no mundo há
tantos homens desconfiando de suas mulheres, e vice-
versa, para que um e-mail tão absurdo como este dê
resultado, ou será que é apenas a curiosidade que está
fazendo com que as pessoas caiam neste golpe? Me
parece óbvio que o golpe está dando resultado, pois os
e-mails não param de chegar, e com novas versões de
texto e novos endereços para download.

16
Evento sobre tendências na área Técnica e de Gestão em Segurança da Informação

Batori Security Day - 18 de agosto de 2004 - Teatro Paulo Autran

Diante do crescimento da rápida como, fonte de informação obrigatória para os executivos


disseminação de vírus de e gestores ligados às áreas de Segurança da Informação
computador, roubo de informações
confidenciais e riscos envolvendo o Durante o evento, os principais especialistas nas
bom andamento dos negócios, a diversas áreas de Combate a Fraudes, Direito Eletrônico,
Batori Software & Security realizará Perícia Forense, Política de Segurança da Informação,
o 1° Batori Security Day. Será um Sistemas de Segurança, Desenvolvimento de Software,
evento onde estarão presentes os estarão reunidos, palestrando e apresentando casos
principais especialistas da área de práticos e tendências aos participantes.
Segurança da Informação, demonstrando as principais
tendências sobre a área técnica e de gestão.
A primeira edição do evento será gratuita e aberta a
consultores, especialistas em Segurança da Informação,
O Batori Security Day é uma oportunidade única de executivos do segmento financeiro, Security Officer,
informação e atualização para profissionais ligados às Analistas de Segurança, profissionais de Direito,
áreas de Tecnologia da Informação e Direito, assim estudantes universitários e Auditores, entre outros.

Agenda
9:00

Tema: Sessão de Abertura


Duração: 15 min
Denny Roger (denny@batori.com.br)
Palestrante: Empresa: Batori Software & Security
Cargo: Diretor de Segurança da Informação

09:15

Tema: Fraudes Internet Banking


Duração: 45 min
Alberto Afonso / Emerson Miron
Palestrante: Empresa: Banco REAL ABN AMRO Bank
Cargo: Diretoria de Auditoria e Inspetoria

10:00

Tema: E-mail: ruim com ele, pior sem ele. Como se precaver em relação ao SPAM
Duração: 60 min
Rodrigo Jonas Fragola (fragola@aker.com.br)
Palestrante: Empresa: Aker Security Solutions
Cargo: Diretor Executivo

11:00

Tema: Segurança na Aplicação


Duração: 45 min
Ricardo Kiyoshi Batori (ricardo@batori.com.br)
Palestrante: Empresa: Batori Software & Security
Cargo: Diretor de Desenvolvimento

12:00 Almoço

17
15:00

Tema: Por onde começar o Gerenciamento da Segurança de grandes redes


Duração: 45 min
Nelson Corrêa (ncorrea@lucent.com)
Palestrante: Empresa: Lucent Technologies
Cargo: Gerente de Segurança da Informação América Latina

16:00

Tema: Crimes Eletrônicos e os Tribunais Brasileiros


Duração: 60 min
Renato Opice Blum (renato@opiceblum.com.br)
Palestrante: Empresa: Opice Blum Advogados Associados
Cargo: Sócio Diretor

17:00

Tema: A Máfia Eletrônica Fraudes Financeiras no Século XXI


Duração: 45 min
Denny Roger (denny@batori.com.br)
Palestrante: Empresa: Batori Software & Security
Cargo: Diretor de Segurança da Informação

Endereço

Av João Dias, 2046 – Santo Amaro – São Paulo / SP.

Inscrições

(Inscrição gratuita)

http://www.batori.com.br/securityday/inscricao.asp

:: Apoio ::

18
I.R.E.
FORENSIC INCIDENT RESPONSE
ENVIRONM ENT
Universidad de los Andes. Carrillo, Ospina, Rangel, Rojas, Vergara

I. INTRODUCCIÓN III. HERRAMIENTAS ANALIZADAS

Para un investigador forense es especialmente útil contar 1. Disk Investigator.


con las herramientas que le permitan llevar a cabo su
labor en cualquier lugar donde sea necesario. Debido a Esta herramienta permite descubrir la información oculta
que usualmente las herramientas requieren instalación, en un disco de almacenamiento, sea un disquete, el
la atención a incidentes puede ser demorada y con disco duro y unidades de almacenamiento externo. Y
frecuencia requiere mover información de un computador puede en ciertas ocasiones recuperar datos perdidos.
a otro que ya cuenta con las herramientas.
Sin embargo esta herramienta solo maneja sistemas de
A continuación se describirá de forma concisa F.I.R.E, archivos FAT12, FAT16, FAT32 y NTFS y funciona en
una kit forense embebido en un CD con capacidad de los siguientes sistemas operativos: Win95, Win98,
arranque, lo que lo hace portátil. WinME, WinNT, Win2000 y WinXp [2,3].

Debido a que el kit proporciona una gran cantidad de Esta herramienta ofrece las siguientes funciones [3]:
herramientas y a que no es nuestra intención hacer un
manual de F.I.R.E, se han escogido siete herramientas • Permite localizar datos dado un parámetro de
de acuerdo a la funcionalidad que prestan. Resultaron búsqueda.
especialmente interesantes las siguientes herramientas:
Gpart, Wipe, DSniff Tools, Steg Detect, Autopsy y Task. • Visualiza el contenido real del disco, ya que no
Estas herramientas cubren un amplio espectro de las toma en cuenta la información proporcionada por el
necesidades del investigador. sistema operativo sobre el sistema de archivos,
sino que toma la información directamente de los
A lo largo del documento se explicará de forma detallada sectores del disco.
cada una de las herramientas empezando por su
descripción, nombrando las ventajas y desventajas que • Permite recuperar archivos previamente borrados
tienen. (hay que tener en cuenta que la recuperación no es
completa y no se garantiza la integridad de los
II. FIRE datos, debido a la escritura de nuevos datos en el
disco).

Previamente conocido como Biatchux, es un cd básico • Permite visualizar el directorio raíz, los archivos,
de arranque de disco, el cual provee un ambiente cluster y sectores del sistema.
inmediato con el cual se pueden realizar análisis
forenses, respuestas a incidentes de seguridad, • Permite verificar la efectividad de los programas de
recuperación de datos, escaneo de virus y análisis de borrados seguros en archivos y discos.
vulnerabilidades.
• Permite realizar verificación de firmas digitales.
FIRE también provee las herramientas necesarias para
análisis forense en win32, SPARC, Solares y Linux.
Para cada una de las anteriores funciones se muestra a
Este kit forense proporciona 196 herramientas, las cuales continuación su configuración y funcionamiento:
se dividen en 6 áreas principales (herramientas básicas
del sistema operativo (Base OS), forense y recuperación
de datos, respuesta a incidentes, pruebas de 1.1 Visualización del contenido directo del disco:
penetraciones (Pen-Test), asociación binaria estática Existen dos modos para visualización del disco:
(Static Linked Binary) y escaneo de virus) según la
funcionalidad de la herramienta, algunas de ellas se Modo de disco: En este modo de puede visualizar el
repiten en varias de las 6 áreas. contenido del disco sector por sector, se puede
configurar el sector del disco a visualizar, se puede
La descripción de cada una de las herramientas se además visualizar tanto el contenido usado del disco
realiza de o
f rma general en el anexo. (Esta se presenta como el espacio no alocado y el espacio libre y la
como anexo a una columna). [1] información del disco[3].
19
Fig1. Pantalla de visor de disco en Disk Investigador.
Fig3. Vista de disco con sistema NTFS
(se observan archivos y directorios)

En esta imagen de pantalla (fig 1) se puede observar la


información del disco (tamaño del disco, número de
sectores lógicos, Bytes por sector, secotores por cluster,
tamaño del cluster, sistema de archivos, cluster libres,
espacio libre, descripción de la tabla maestra de archivos
MFT, etc), y el contenido del sector 0 del disco (se
muestra el contenido en hexadecimal, en texto y en
decimal, además tiene la opción de observar el cluster
actual ver fig 2.)

Fig4. Vista memoria USB en sistema de archivos FAT16.


(Se observan archivos (negros) y directorios normales (verde),
También archivos borrados (rojos) y directorios borrados (cafés))

Adicionalmente este modo permite seleccionar un


archivo y mirar el o los cluster del disco en los cuales se
encuentra, además permite recuperar en cierto
porcentaje los archivos borrados (no se asegura
recuperación completa del archivo pero se puede ver
Fig2. Vista de un cluster especificado (Cluster 0)
parte de la información que contenía, esto puede ser útil
a la hora de realizar un análisis forense).
Al elegir la opción de vista del cluster se puede ver la
1.2 Recuperación de Archivos:
información de los 8 sectores del cluster, en esta vista se
tiene la opción de copiar al contenido del cluster, o de
Como ya ha sido descrito anteriormente desde el modo
adicionar el cluster a memoria, de esta forma se pueden
de directorio para la visualización del disco, se pueden
guardar en un archivo los cluster que se encuentran en
observar los archivos eliminados en sistemas de archivos
memoria principal.
FAT, seleccionando el archivo a recuperar la aplicación
toma el encabezado del archivo en el sector en el cual se
• Modo de directorio: Este modo permite ver el encuentra tomando el tamaño del archivo y
contenido del disco con estructura de directorios, recuperándolo. Es fácil ver que al recuperar el archivo no
permite ver el contenido raíz de cualquier archivo se esta asegurando la integridad del archivo, ya que la
en el disco (la información de cada archivo es: aplicación esta capturando la totalidad del archivo dado
nombre del archivo, nombre del archivo en DOS, su encabezado, por lo cual no esta teniendo en cuenta
extensión, atributos, tamaño en disco, fecha de que algún sector donde estaba el archivo puede haber
modificación, fecha de creación, fecha de ultimo sido utilizado por el sistema operativo para almacenar
acceso). En sistemas de archivos FAT (no otro archivo (ya que para el sistema operativo este
NTFS) este modo permite ver los archivos espacio se encuentra libre para asignación). Por esta
borrados que se encuentran en el disco [3]. En la razón el sistema de recuperación de archivos no es
Fig3 se muestra el contenido del disco en completamente útil, aunque hay ocasiones en las cuales
sistemas NTFS y la Fig4 muestra el contenido de se puede recuperar la totalidad del archivo ya que el
un disco con sistema de archivos FAT16. espacio de este no ha sido nuevamente asignado.

20
1.3 Búsqueda dado un parámetro: Root DIR Sector: 491
Root DIR Cluster: 1
La aplicación permite realizar búsquedas sobre todo el Root DIR Entries: 512
disco, dados dos letras, una palabra o una frase, se 2-nd Cluster Start Sector: 523
busca sobre todo el disco para encontrar similitudes, Ending Cluster: 62387
reportando al final en que sectores del disco se Media Descriptor: 248
encuentra el parámetro de búsqueda (Ver Fig5), de esta Root Entries: 0
forma se puede buscar información borrada Heads: 8
anteriormente o comprobar procesos de borrado seguro. Hidden sectors: 32
SerialVolumeID: 17E9242F
Volume Label: KINGSTON

1.5.2 Segundo se tratara de recuperar archivos:

Se puede observar que el sistema de archivos es FAT16


con lo cual se puede observar en el modo directorio la
información de los archivos borrados, para comprobar las
propiedades de recuperación de archivos.

El modo directorio muestra la siguiente información


(Fig6)

Fig5. Resultado de búsqueda por Disk Investigator, se puede


observar que el programa indica en que sector se encuentra y
permite localizarlo.

1.4 Verificación de firmas Digitales:

El programa permite para cada uno de los archivos


consultados en el modo directorio, calcular la llave de
verificación dependiendo del estándar (entre estos
encontramos MD5 – 128 bits, CRC - 32 bits, RipeMD – Fig6. Archivos encontrados en la memoria USB, los archivos en
128 bits, RipeMD – 160 bits, SHA – 1, SHA – 256, SHA – rojo son los archivos borrados.
384, SHA – 512), esto permite verificar el contenido de
un archivo y comprobar si el archivo no ha sido Se tratan de recuperar los siguientes archivos:
modificado o se encuentra defectuoso. voip simulation and análisis.pdf con ultimo acceso el 7
de Marzo (1 mes atrás).
1.5 Ejercicio para su utilización:
Taller 3 Ecologia.doc con último acceso el 11 de Marzo.

Para mostrar el funcionamiento de la herramienta para Al tratar de recuperar el primero se presento un error a la
las funciones descritas anteriormente se realizara el
hora de leerlo en el cual se indicaba que el archivo se
siguiente ejercicio:
encontraba corrupto, esto se debe a que alguno de los
cluster que estaban ocupados por el archivo fue
Se tiene una memoria USB (Kingston de 128 megas), se asignado a otro archivo diferente. Por el contrario el
utiliza Disk Investigator: segundo archivo pudo ser recuperado en su totalidad,
esto se debe a que los cluster no habían sido asignados
1.5.1 Primero se obtendrá la información acerca del a otro archivo.
disco es:
1.5.3 Por último verificaremos opciones de borrado
Logical drive: E seguro, utilizando búsqueda y modo de directorio:
Size: 122 Mb (popularly 128 Mb)
Logical sectors: 250068 Se creara un archivo TXT de prueba con palabra clave
Bytes per sector: 512 para búsqueda (baggins), este se creara en el directorio
Sectors per Cluster: 4 raíz de la memoria y será borrado por dos métodos el
Cluster size: 2048 primero (eliminar – normal de Windows), el segundo
File system: FAT16 (borrado seguro - Eraser), y utilizaremos el Disk
Number of copies of FAT: 2 Investigator para verificación.
Sectors per FAT: 245
Start sector for FAT1: 1 El contenido del archivo Prueba.txt es: “Esto es una
Start sector for FAT2: 246 prueba con palabra clave Baggins.”.
21
En modo directorio se observa que el archivo Prueba.txt
se encuentra en el directorio de la memoria (Fig7), y
utilizando el visor se puede observar el contenido del
cluster en el cual se encuentra (Fig8, Cluster: 2756).

Fig10. Visor del cluster 2756, sectores 11543-11546 (Sectores por


cluster 4) Para el archivo eliminado Prueba.txt

Lo anterior nos muestra que el borrado de Windows,


únicamente cambia el nombre al archivo en la tabla de
archivos del sistema FAT con un valor especial de
borrado.
Fig7. Modo directorio para Memoria USB (archivo Prueba.txt)

Ahora bien, si utilizamos una técnica de borrado seguro,


se encuentra el nombre del archivo en el directorio sin
embargo no se puede abrir el cluster, esto indica que la
referencia a sido eliminada por completo, ahora para
verificar que el contenido del archivo no se encuentra se
realizo una búsqueda por la palabra clave (Baggins), la
cual no arrojo resultados, esto muestra que las técnicas
de borrado seguro elimina el contenido del archivo.

2. Gpart

Gpart es una herramienta de diagnóstico y recuperación


de libre distribución que permite identificar las particiones
existentes en un disco o imagen, aun cuando el sector
Fig8. Visor del cluster 2756, sectores 11543-11546 (Sectores por
cero se encuentra dañado, es incorrecto o ha sido
cluster 4) Para el archivo Prueba.txt borrado. [4]

La herramienta ignora la tabla de particiones primaria e


intenta construir una a partir de información presente en
Ahora bien borrando el archivo con la opción eliminar de el disco aun cuando esta no se encuentra indexada en la
Windows, utilizamos Disk Investigator para mostrar que tabla.
el archivo no ha sido borrado y puede ser recuperado.
2.1 Funcionamiento.
El archivo Prueba.txt aparece como eliminado, y sin
embargo la información puede ser vista con el visor (Fig9 El método consiste en leer sector por sector en
y Fig10). búsqueda de encabezados, datos o partes de los
mismos que permitan identificar la existencia de una
partición. La forma en que la relevancia de los datos es
clasificada depende del sistema de archivos, pues para
cada uno de ellos, existe un encabezado que señala la
existencia de una partición.

Una vez se identifica un patrón que levante la sospecha


de la existencia de un sistema de archivos o partición, la
herramienta compara el hallazgo con la lista de
particiones existentes y clasifica la partición hallada en
una de cuatro categorías: Primary, Logical, Orphan o
Invalid.

Primary o Logical significa que estan indexadas


Fig9. Modo de directorio muestra el archivo Prueba.txt como correctamente, sin embargo, Orphan es una partición
eliminado. que no esta indexada, por lo que muy probablemente
sea una partición borrada. La herramienta genera una

22
adivinación de la información faltante en el patrón, cada cadena, haciendo que la identificación de este tipo
permitiendo así el uso de la partición o sistema de de particiones resulte defectuosa.
archivos “Orphan”. Invalid corresponde a información que
no puede ser identificada. Como perteneciente a ninguna La herramienta ofrece una serie de opciones adicionales
partición. como reconocimiento manual de disco por CHS, importar
modulo de reconocimiento (archivo de patrones) e
Dada la naturaleza del método, las modificaciones imprimir la tabla primaria de particiones. [4]
realizadas a la tabla primaria de particiones con el fin de
esconder información resultan poco útiles.
3. Wipe
2.2 Compatibilidad
Wipe es una herramienta de libre distribución que
permite hacer borrado seguro de archivos en discos
Gpart opera con un conjunto de archivos que estipulan magnéticos. Esto ofrece un mayor grado de seguridad a
los patrones a ser buscados dependiendo del sistema de la información confidencial que alguna vez fue
archivos. Asimismo, cada archivo estipula pesos y reglas almacenada en un medio magnético que ahora será
estadísticas que permiten llevar a cabo los pronósticos desechado o usado para otros fines. [5]
para la reconstrucción de la tabla primaria de particiones.

De acuerdo a esto gpart es una herramienta liviana que 3.1 Funcionamiento


permite una amplia gama de opciones y actualizaciones
para proporcionar una compatibilidad casi ilimitada con La herramienta esencialmente alterna la escritura de
otros sistemas de archivos. En la actualidad gpart 0x00 con 0xff varias veces sobre el archivo antes de
soporta: XFS, BeOS, Bsddl, ext2, FAT, HPSF y NTFS eliminar el encadenamiento en la tabla de archivos.
entre otros. [4]
La herramienta requiere que el dispositivo sobre el que
2.3 Análisis de la Herramienta se vaya a borrar permita la escritura sin buffer o cache,
pues utiliza fdatasync [6] para garantizar que cada
Gpart presenta una manera heurística de reconstruir la escritura ocurra en una sola etapa y una tras otra.
información, esto le permite ser flexible y efectiva en
muchas situaciones. Sin embargo esta misma
característica hace que sea necesario dudar de los 4. Dsniff Tools V2.3
resultados que la herramienta provee dado que se
pueden presentar con relativa frecuencia uno de los Es un conjunto de herramientas para auditoria de redes y
siguientes casos patológicos: reconocimientos ficticios de pruebas de penetración. Dsniff, filesnarf, mailsnarf,
particiones o reconocimientos incorrectos de particiones. msgsnarf, urlsnarf y webspy realizan monitoreo pasivo de
En el primero de los casos la herramienta puede hacer redes en busca de información interesante (passwords,
creer al usuario que se ha encontrado una partición e-mails, archivos, etc.). arpspoof, dnsspoof y macof
donde nunca ha existido haciendo que el investigador facilitan la intercepción del trafico de red al cual un
invierta su tiempo de forma innecesaria. El segundo caso atacante normalmente no puede tener acceso. Sshsmitm
es más grave porque ocurre cuando la herramienta y webmitm implementan ataques de tipo man-in-the-
descubre una partición o sistema de archivos que middle contra sesiones SSH y http redirigidas [7].
efectivamente existe en la superficie del disco, pero no
es capaz de adivinar correctamente la estructura del 4.1 Resumen de las Herramientas.
encabezado. En este caso, aun cuando existe la
posibilidad de ver los archivos, es probable que ninguno Para cada una de las herramientas a continuación se
de ellos sea accesible haciendo evidente la necesidad de realiza su descripción:
cambiar de herramienta. [4]

4.1.1 Dsniff: Es un sniffer de passwords simple, maneja


Vale la pena aclarar que en ambos caso la solución esta
trafico FTP, Telnet, HTTP, POP, NNTP, M I AP, SNMP,
ligada a la pericia que tenga el usuario para afinar los
LDAP, Rlogin, NFS, SOCKS, X11, IRC, AIM, CVS, ICQ,
parámetros en los archivos de patrones para la
Napster, Citrix ICA, Symantec PC Anyware, NAI Sniffer,
identificación. En caso de lograr un nivel alto de
Microsoft SMB e información de autenticación de Oracle
afinamiento, los errores se hacen muy pocos.
SQL Net. Va más allá que otros sniffers porque hace un
sniffing mínimo de cada protocolo de aplicación,
De acuerdo a lo anterior, gpart es una herramienta que guardando solo los bits “interesantes”. Usa Berkeley DB
requiere de un especialista y no es recomendada para como formato de salida y soporta reensamble TCP/IP.
personas con poco conocimiento de la herramienta.
4.1.2 MailSnarf: Brinda una forma fácil y rápida de violar
Existe un problema adicional relacionado con las el Electronic Communications Privacy Act de 1986.
particiones extendidas. Debido a que este tipo de Muestra todos los mensajes del trafico SMTP en formato
particiones pertenecen a una cadena de índices que a su Berkeley Mbox. Recomendable para hacer browsing de
vez esta encadenada con particiones lógicas, resulta esa información offline con el lector de mail favorito (mail
difícil para la herramienta identificar principio y fin de -f, pine, etc.)

23
4.1.3 UrlSnarf: Muestra todos los URL’s solicitados En la capa 3 IPSEC a la par con servicios de nombres
haciendo sniffing del trafico HTTP en el formato CLF seguros y autenticados (DNSSEC) pueden prevenir la
(Common Log Format) que usan la mayoría de redirección usando dnsspoof y el sniffing pasivo.
servidores web, recomendado para hacer análisis y
procesamiento offline con su herramienta favorita de En la capa 4 no se deben permitir protocolos de
análisis de web logs (analog, wwwstat, etc). aplicaciones inseguras o protocolos de tipo cleartext en
la red. Dsniff es útil porque ayuda a detectar violaciones
4.1.4 WebSpy: Envía los URL’s de un cliente (los cuales a estas políticas de seguridad, especialmente cuando es
se han capturado haciendo sniffing) a su browser usado con la opción magic (dsniff -m) en modo de
netscape local para mostrarlos, se actualiza en tiempo detección automática de protocolo. [7]
real de tal manera que mientras el cliente navega
también lo hace el browser local.[8] El tráfico normal funciona de la manera planteada en el
siguiente ejemplo:
4.2 Plataformas Soportadas.
1. El nodo A transmite un frame al nodo C.
Las plataformas soportadas oficialmente son: 2. El switch examina el frame y determina el host hacia el
OpenBSD(i386), Redhat linux(i386), y Solaris (SPARC). que va dirigido. Luego abre una conexión entre el nodo A
Las plataformas no oficiales son: FreeBSD, Linux y el nodo C de tal manera que tienen una conexión
Debian, Linux Slackware, AIX y HP-UX. Existe una privada.
versión mas antigua para Windows que se puede 3. El nodo C recibe el frame y examina la dirección.
obtener de:
http://www.datanerds.net/~mike/dsniff.html Después de determinar que es el host de destino,
procesara el frame. Es importante observar que el host
Y una versión para MacOS X esta disponible en: lleva a cabo la verificación de la dirección de destino a
http://blafasel.org/~floh/ports/dsniff-2.3.osx.tgz. pesar de que el switch “garantiza” que es el host
correcto. En general cuando el Nodo A se quiere
4.3 Componente Adicionales Necesarios. comunicar con el Nodo C en la red, envía una petición
ARP. El nodo C enviara una respuesta ARP que incluirá
El paquete dsniff necesita de paquetes adicionales: su dirección MAC. Incluso en una red switcheada, esta
petición ARP inicial es enviada broadcast. Es posible
que un Nodo B envié una respuesta ARP falsa no
Berkeley DB
solicitada al Nodo A. Esta respuesta ARP falsa
Open SSL
Libpcap especificara que el nodo B tiene la dirección MAC del
Nodo C. El Nodo A, enviara el trafico al nodo B porque el
Libnet
cree que tiene la dirección MAC correcta. Esta técnica se
libnids
Open BSD denomina “ARP Spoofing” y se usa la utilidad del
paquete dsniff “arpspoof”. Este ejemplo aplica para redes
que estén compartiendo un gateway específico.
Dsniff ya integra los tres primeros paquetes en el sistema
básico, por tanto solo faltarían libnet y libnids. Linux,
Solaris y la mayoría de sistemas operativos (incluyendo 4.6 Técnicas de Defensa:
RedHat) requieren construir los paquetes adicionales
primero. El software requiere también un conocimiento Para defenderse contra el posible uso malintencionado
básico de seguridad en redes para un uso apropiado. de dsniff y sus herramientas adicionales se deben tener
en cuenta ciertos aspectos: Codificando la dirección
MAC del Gateway en el Switch ayuda a prevenir el
4.4 ¿Como detectar dsniff en una red? spoofing de ARP. Sin embargo un ataque “MAC Flood”
puede ser llevado a cabo sobre el Switch. Un MAC
En la capa 2: Examinando cambios en el mapeo de ARP Flood es cuando una cantidad de direcciones basura
en la red local, tales como los generados por arpspoof o llenan la memoria del Switch (la herramienta de dsniff
macof. En la capa 3 un sniffer puede monitorear las usada para este fin es denominada “macof”). En
anomalías comunes de la red o efectos secundarios de maquinas Linux, al adicionar la dirección MAC a cada
ataques activos con dsniff: Puertos ICMP Unreachable, maquina en el archivo “etc/others” previene el envió y la
al servi dor DNS local, como resultado de cuando dnspoof recepción de solicitudes y respuestas de ARP. La
responde primero a una búsqueda DNS con datos. utilidad denominada “arpwatch” puede ser utilizada para
Inundamiento TCP de RST’s o ACK’s causados por enviar un correo al administrador si se detecta en la red
tcpkill y tcpnice. que una dirección MAC no corresponde. Las utilidades
de dsniff pueden ser usadas para interceptar passwords,
e-mails, conversaciones con mensajes instantáneos, y
4.5 ¿Cómo proteger una red contrs dsniff? otros tipos de información potencialmente crítica. Por
tanto, estas herramientas deben ser usadas con gran
En la capa 2 activando la seguridad en los puertos de un precaución y solo usuarios autorizados deberían tener
switch o forzando entradas ARP estáticas para ciertos acceso al servidor que esta monitoreando la red, también
hosts, esto ayuda a proteger contra redirección de trafico es indispensable implementar controles de acceso
ARP capturado mediante spoofing. estrictos. Existen dos utilidades que vienen con dsniff y

24
pueden ser usadas efectivamente para controlar el ancho El propósito de los sistemas esteganograficos modernos
de banda, “tcpkill” y “tcpnice”. “tcpkill” puede ser usada es ocultar información para que no solo no pueda ser
para eliminar conexiones desde o hacia un host, red, recobrada sin tampoco detectada pero el proceso mismo
puerto o una combinación de los anteriores [9]. siempre deja rastros.

4.7 Monitores de una Herramienta de dsniff. • Se puede hablar de tres características básicas
de los sistemas de ocultamiento de información:
Para poder entender como opera una red y para • Capacidad: Cantidad de información que puede
descubrir problemas de congestión y otros es necesario ser escondida.
monitorear la red. Esta técnica permite descubrir • Seguridad: La facilidad para ser detectada.
rápidamente si la red tiene problemas o si un host • Robustez: Cantidad de información que puede
particular o un conjunto de hosts están usando una ser modificada en el medio portador antes de
cantidad excesiva de ancho de banda. Dsniff contiene destruir la información oculta.
herramientas que permiten monitoria y auditoria de
redes, ha recibido una gran cantidad de prensa negativa Los sistemas para ocultar información se pueden dividir
porque es gratis y puede ser ejecutada desde cualquier en dos; sistemas de marcas de agua y sistemas
computador en una red para hacer sniffing de tráfico, esteganograficos. En los sistemas de marca de agua se
interceptar conexiones SSL, asaltar una red etc. Además busca alta robustez por otro lado en los sistemas
se encuentra disponible en las dos plataformas esteganograficos se busca capacidad y seguridad.
tradicionales: Windows y Linux [10].
La seguridad en los sistemas esteganograficos por lo
El arte de hacer sniffing de tráfico de red, o capturar general se basa en un sistema adicional de encripcion.
paquetes que viajan por el cable ha sido uno de los
métodos más fructíferos de cualquier ataque malicioso. 5.2 Esteganografia en JPEG [13]
El atacante puede obtener información sensible muy
importante simplemente corriendo un sniffer en una red
ethernet o Token Ring . La solución tradicional para Aunque los principio de la esteganografia son aplicables
quienes poseen dinero es la encripcion, para quienes no a diferentes tipos de formatos de archivos de datos
lo tienen, ha sido pasar de las redes ethernet usados actualmente no enfocamos solo en archivos
compartidas tradicionales a redes switcheadas. Pero JPEG por que la herramienta analizar solo funciona
todo esto ha cambiado con dsniff, con un programa de sobre estos archivos.
redirección de ARP (Protocolo de Resolución de
Direcciones) y forwarding de IP, un atacante puede Para entender las herramientas de esteganografia sobre
hacerle sniffing a cualquier estación que se encuentre JPEG es necesario hacer una pequeña reseña de la
dentro de una red switcheada. Pocos administradores especificación del formato.
conocen actualmente esta técnica y por tanto no aplican
seguridad para contrarrestarla [11]. Primero que todo el formato JPEG puede o no comprimir
la información y puede comprimirla con o sin perdidas. A
5. StegDetect V5.0 continuación se muestra un esquema general de los
pasos necesarios para guardar una imagen en este
StegDetect es una herramienta automática para detectar formato (Fig11):
contenido esteganografico en imágenes, es capas de
detectar información introducida por varios métodos en
archivos JPEG. Actualmente detecta los información
incluida por los siguientes programas: Conversión SubSampling Calculo
a YCbCR YCbCR Coeficientes CDT
• jsteg
• jphide (unix and windows)
• invisible secrets Cuantización de los Cuantización de los
Coeficientes en Orden ZigZag Coeficientes en Orden Natural
• outguess 01.3b Fig11. Esquema General Esteganografia JPEG
• F5 (header analysis)
• appendX and camouflage.

5.1 Esteganografia [12] El YCbCr es un sistema cromático análogo al RGB en el


que se tiene una dimensión de intensidad (Y) y dos
Esteganografia es el arte y la ciencia de esconder las cromáticas (CB: Azul Amarillo, Cr: Rojo Verde) esta
comunicaciones. Un sistema esteganografico introduce conversión ser hace para aprovechar las características
contenido oculto en un medio contenedor de tal manera de la visión humana de no tener alta capacidad de
que su presencia no pueda ser detectada. Básicamente resolución en las dimensiones cromáticas, luego el
el proceso esteganografico comienza encontrado los bits segundo proceso disminuye la resolución en Cr y Cb
de información redundante en el medio contenedor que hata un punto que todavía no es detectable por el ojo
se piensa utilizar, luego se remplazan estos bits con los humano.
bits de información del mensaje oculto.

25
El tercer paso es uno de los mas importantes y se trata
de calcular la transformada coseno discreto de
subconjunto de la imagen (de hecho grupos de 8*8
píxeles). La transformada coseno discreto pasa la
información de la imagen al dominio de la frecuencia, de
cierto modo es análoga a la transformada de Fourier. El
propósito de este paso al igual del paso uno es llevar la
información de la imagen a un dominio en el que sea
mas fácil de detectar y eliminar la información
redundante.

Los pasos 4 y 5 eliminan y reorganizan algunos de los


coeficientes generados en le punto 3 para propósitos de
Fig12. Frecuencias de Coeficientes DCT[12]
este articulo no es necesario entrar en detalles de estos
pasos.
Esta propiedad es la que utiliza StegDetec para
determinar si hay o no información oculta en un archivo.
Básicamente para utilizar las imágenes JPEG como
medios esteganograficos lo que normalmente se hace es
remplazar el bit menos significativo de cada uno de los A continuación se muestra un ejemplo de una imagen
coeficientes DCT con los bits de la información que se utilizada para esconder un archivo. (Fig13 y Fig14)
quiere ocultar, se debe tener cuidado de solo utilizar los
coeficientes diferentes de cero o uno para no modificar
muchos las propiedades básicas de la imagen.

Como se puede ver de lo ya reseñado la inclusión de la


nueva información siempre modificara de alguna forma la
imagen original la idea es hacerlo de la manera menos
indetectable posible. De hecho existe un máximo de
información que puede ser introducida en un archivo y
esta depende de la cantidad de información redúndate
presente en la imagen original.

Existen algunas herramientas como Invisible Secrets que


no ocultan la información de la manera antes reseñada Fig13. Imagen original 28(KB)
sino que adicionan la nueva información a los
encabezados de la imagen, esto en términos generales
no es considerado verdadera esteganografia JPEG.

En el proceso de detección de información oculta den un


archivo JPEG seria ideal tener una copia de la imagen
original para poder compararla con el archivo analizado y
poder ver que si existen diferencias es por que se anexo
información oculta. Desgraciadamente en la mayoría de
los casos esto no es posible por lo que la estrategia de
detección de información debe ser otra.

La estrategia que usa la herramienta que ahora


Fig14. Imagen Modificada 1.475(KB)
analizamos se basa en que el proceso de inserción de la
información modifica las estadísticas de primer orden. En
la imagen que se muestra a continuación tenemos los La imagen fue modificada utilizando jphide.
histogramas de los coeficientes DCT de la imagen antes
de ser adicionada la información adicional (a) y luego de 5.3 Análisis de la Herramienta.
ser adicionada la información adicional (b). [1]
Para analizar la herramienta se trato de generar archivos
Como se puede ver en a l s imágenes (Fig12) el cambio JPEG con información oculta con otros los programas
mas notable es la disminución de las diferencias de las que reporta reconocer StegDetect pero sólo se pudo
frecuencias de coeficientes contiguos, este efecto se hacer pruebas con jsteg, jphide y invisible secrets, de
debe a que en términos frecuenciales lo que sucede outguess y f5 se obtuvo el código fuente pero nos fue
cuando se introduce la nueva información es el filtrado imposible resolver los problemas de compilación.
de las frecuencias altas de la imagen que no son muy
relevantes para el ojo humano y por eso no se puede Las pruebas se llevaron a cabo con las versiones
apreciar diferencias entre las imágenes después de Windows 2K de las herramientas.
procesadas.

26
5.3.1 JSTEG coeficientes DCT sino que esconde la
información en le encabezado del archivo JPEG.
Con esta herramienta nunca se obtuvieron resultados • En documentación no oficial de StegDetect se
esperados pero para dar crédito a StegDetect creo que reporta que el programa tiene problemas o no
se trataba mas por un problemas de Jsteg, de todos los funciona del todo con JPEG comprimido.
archivos que se originaron con esta herramienta nunca
se pudo recuperar la información embebida ni con esta Ejemplo de resultados obtenidos:
herramienta ni con otras a pesar de que la herramienta
reportaba el proceso de creación como exitoso y de que Colinas azules8.jpg : error: Unsupported marker type
el tamaño del nuevo archivo era diferente del de la 0x22
imagen original.
6. Autopsy y Task
Siembargo en algunas de las pruebas realizadas
StegDetect reportaron positivos verdaderos.
6.1 Historia [15]

Puesta de sol3.jpg : jsteg(***) (positivo verdadero)


El diseño de TASK y de Autopsy está basado en el
blanco.jpg : negative (se esperaba positivo)
diseño de sus predecesores, respectivamente The
blanco2.jpg : negative (se esperaba positivo)
Coroner’s toolkit (TCT) y TCTUTILs. Para mejor entender
blanco2b.jpg : negative (se esperaba positivo)
TASK y Autopsy, es importante entender sus raíces, su
blanco3.jpg : negative (se esperaba positivo)
historia.
blanco4.jpg : negative (se esperaba positivo)

En el año 200; Dan Farmer y Wietse Venema lanzaron la


5.3.2 JPHIDE
primera versión de TCT. TCT es una colección de
herramientas de comando UNIX para recolectar
Los resultados sobre los archivos generados con jphide información de sistemas y analizar sistemas de archivos
fueron los más acordes con lo que se esperaba. FFS y EXT2FS.

No se encontró un falso positivo. Las herramientas de adquisición de información en TCT


incluyen ‘grave-robber’ y ‘pcat’, que permite copiar
En la mayoría de los casos StegDetect detecto la información importante de un sistema en vivo.
presencia de información oculta, los únicos casos en los Herramientas de análisis de sistemas de archivos
que no fue detectada era cuando el tamaño de la incluyen ‘ils’ e ‘icat’ que permiten analizar las estructuras
información oculta era muy pequeño con relación a la inodos de los sistemas de archivos UNIX y la
capacidad de la imagen original (aproximadamente un herramienta ‘mactime’ que hace líneas de tiempo de la
<20%). Además esta relación es fácil de calcular con actividad del archivo.
jphide por que en el momento de creación del archivo
reporta el porcentaje de utilización de la capacidad del Una limitación de TLT era que las herramientas de
medio. sistemas de archivos sólo operaban en el nivel de bloque
e inodo. Por lo tanto no había noción de nombres de
Ejemplo de resultados obtenidos: archivos y directorios durante un análisis post-mortem.
Otra limitación era la dependencia de la plataforma. El
Nenúfares2.jpg : jphide(***) sistema de análisis debía ser el mismo SO que el
Nenúfares3.jpg : jphide(***) sistema analizado. Por ejemplo, si un sistema Solaris era
Nenúfares4.jpg : jphide(***) investigado, entonces la plataforma de análisis tenia que
Nenúfares5.jpg : negative ser Solaris. Además no existía soporte para el análisis de
sistemas de archivos FAT y NTFS.
5.3.3 Invisible Secrets
Para arreglar estas limitaciones, se desarrolló TCTUTILs,
Con invisible secrets tambien se tuvieron muchos que era una adición al TCT y preveía herramientas que
problemas, de hecho nunca se pudo correr una prueba listarían las estructuras de archivos y directorios en el
completa, al trata de correr StegDetect encontraba sistema de archivos y mapeaba las estructuras en
problemas con el formato de la imagen y abortaba. Pero diferentes niveles del sistema de archivos. Por ejemplo,
la imagen era aceptada por otros programas de lectura identificar cual archivo era ubicado en un inodo dado y
de JPEGs. que inodo tiene alocado un bloque dado.

Al leer documentación [14] de ambos productos para Al mismo tiempo, Autopsy 1.00 fue lanzado. Autopsy fue
tratar de encontrar la causa del problema se encontraron desarrollado porque TCT y TCTUTILs era de comando y
las siguientes posibilidades: eran tediosos cuando se quería analizar una imagen de
un sistema de archivos entero. Autopsy es basado en
HTML y está presente en un browser de HTML.
• En documentación no oficial de Invisible Secrets
exponen que este programa no utiliza el método
modificación del bit menos significativo de los TASK 1.00 fue lanzado y unía las herramientas de
análisis de sistemas de archivos de TCT con TCTUTILs
27
en un paquete y adicionó nuevas utilidades. Como la 6.2.4 Capa del sistema de archivos: Es donde toda la
remoción de la dependencia de la plataforma, soporte del información específica al sistema de archivos es
sistema FAT. La versión 1.50 añadió soporte a NTFS. guardada. Por ejemplo, el tamaño de las unidades de
información y la cantidad de estructuras inodos que hay.
Autopsy 1.50 fue mejorado para soportar la Esta capa contiene los valores que identifican cómo el
independencia de plataformas de TASK 1.00, Autopsy sistema de archivos es diferente de otro del mismo tipo.
1.60 fue mejorado para soportar TASK 1.50, y Autopsy
1.70 soporta TASK 1.60. Actualmente existen 11 herramientas que operan en
estos niveles. Cada una tiene un nombre basada en el
nivel que trabaja y su función. La primera letra
6.2 Diseño de Task corresponde a la capa que pertenece, así: [14]

Como fue mencionado anteriormente el diseño de las Primera letra Capa


herramientas de sistemas de archivos están basadas en D Unidad de información
el diseño original de TCT. El principio básico de las I Meta data
herramientas es procesar manualmente el sistema de F Nombre de archivo
archivos. Típicamente, cuando un sistema de archivos es
fs Sistema de archivos
montado, el Sistema Operativo (SO) lee las diferentes Tabla1. Correspondencia letra-capa.
estructuras en el disco por sí mismo. Con TASK y otras
herramientas forenses, esto es hecho por la herramienta
El final del nombre de la herramienta, corresponde a su
por si misma y el soporte nativo del SO no es necesitado. función, así:
Por lo tanto, aún cuando Solaris no tiene un soporte
NTFS en su kernel se puede analizar una imagen NTFS.
Final del Función
La meta de TASK es la de proveer al investigador con nombre
toda la información en el sistema de archivos. TASK es ls Lista la información en la capa
una herramienta de extracción de información que cat Despliega el contenido en la capa
analiza una imagen de una gran sistema de archivos y stat Despliega detalles de un objeto en la
genera diferentes partes de el en un formato más fácil de capa
entender. En algunos casos, se obtendrá más find Mapea otras capas a su capa
información de la necesitada, pero toda es presentada. calc Calcula “algo” en la capa
Tabla2. Función de la Herramienta.
Para proveer acceso a toda la información, se usa un
modelo basado en capas. Esta combinación da como resultado las siguientes 11
herramientas:
6.2.1 Capa de Unidad de información: Es donde el Unidad de Información: dls, dcat, dstat, dcalc
contenido de los archivos y directorios están guardados.
Meta Data: ils, icat, istat, ifind
En general, el espacio de disco es ubicado de acá Nombre del archivo: fls, ffind
cuando el SO lo necesitaba. Las unidades de Sistema de Archivos: fsstat
información tienen un tamaño fijo y la mayoría de
sistemas de archivos necesitan que sean de potencias
de 2, por ejemplo 1024-4096. Las unidades de Además hay incluidas en TASK unas herramientas de
información son también llamadas clusters o fragmentos capa de aplicación. Para hacer hash, la MD5 y SHA-1.
dependiendo del sistema de archivos. La última versión de ‘file’ sirve para facilitar la
identificación de los tipos de archivos. La herramienta
‘sorter’, usa las herramientas de extracción como fls e
6.2.2 Capa de Meta data: Es donde la información
icat, ‘file’ y MD5, para organizar una imagen de un
descriptiva de los archivos y directorios está guardada. sistema de archivos por el contenido de los archivos. Por
Ésta capa incluye las estructuras inodo en UNIX, las
ejemplo, todas las imágenes gráficas son identificadas.
entradas MFT en NTFS, y estructuras de entradas de En conclusión TASK es modular y provee acceso a todas
directorios en FAT. Esta capa contiene información como las capas del sistema de archivos.
los tiempos de últimos accesos. permisos y apuntadores
a las unidades de información que fueron ubicados por el
6.3 Diseño de Autopsy.
archivo o directorio. Esta capa describe completamente
un archivo.
Autopsy fue diseñado para ser una herramienta de
6.2.3 Capa de Nombre de archivo: Es donde el nombre eficiencia para TASK. Autopsy no conoce nada de las
del archivo o directorio es guardado. En general, es una estructuras del sistema de archivos o algoritmos de
estructura diferente a la estructura meta data. La búsqueda en las bases de datos Hash. Sólo sabe cuál
excepción es en el sistema de archivos FAT. Los herramienta existe, que parámetros necesitan de
nombres de los archivos son generalmente salvados en entrada, darle formato a la salida y desplegar la salida en
formato HTML.
unidades de información que el directorio padre ubica.
Las estructuras de nombres de archivos contienen el
nombre y la dirección de la correspondiente estructura En su principio, Autopsy era un script CGI que requería
meta data. un servidor HTTP aparte para correr, como por ejemplo

28
Apache. Pero antes del primer lanzamiento, se le 6.4.9 Reportes: Autopsy puede crear reportes en ASCII
adicionó un servidor HTTP. para las estructuras de archivos o sistemas de archivos.

Autopsy provee al usuario acceso a las mismas capas 6.4.10 Log: Todo los pasos que se realizan durante el
que TASK usa y brinda una funcionalidad de más alto análisis son grabados en un log, para facilitar la
nivel, como las líneas de tiempo y la ordenación por tipo reproducción de los pasos.
de archivo. En conclusión, Autopsy trata de hacer la vida
más fácil realizando las operaciones tediosas que TASK 6.5 Autopsy 1.7 Administración de Casos [15]
requiere.
Antes de la version 1.70, había muy poca noción de la
6.4 Técnicas de Búsqueda de Evidencia. administración de casos en Autopsy. La administración
de casos en la versión 1.70 se diseñó para manejar
6.4.1 Listado de Archivos: Analiza los archivos y investigaciones grandes y globales con sistemas
directorios incluyendo los nombres de los archivos múltiples en múltiples zonas horarias. Toda la
borrados. administración es hecha usando una interfaz gráfica y los
directorios han sido organizados para aplicar restricción
6.4.2 Contenido de Archivos: Éste puede ser visto en de permisos. Además hay varios tipos de logs y
forma hex, “raw” o se pueden extraer las cadenas ASCII. auditorías que se desarrollaron.
Cuando la información es interpretada, Autopsy la sanea
para evitar daños al sistema local de análisis. La organización de la administración utiliza directories y
archivos de texto ASCII. Fue diseñada para hacer más
6.4.3 Base de datos Hash: Busque archivos fácil archivar casos y proveer consistencia. Usa un
desconocidos en una base Hash para identificarlo diseño abierto y genérico para que cualquier herramienta
rápidamente como bueno o malo. Autopsy usa la NIST pueda sacar provecho de la información sospechosa.
(Librería Nacional de Referencia de Software) y bases de
datos del usuario para lograr estas identificaciones. Cada investigación empieza con un caso. El caso incluye
información como el nombre una pequeña descripción y
6.4.4 Línea de tiempo de la Actividad del Archivo: En una lista de investigadores que estarán involucrados en
algunos casos, tener una línea de tiempo de la actividad el análisis. Para manejar un incidente de múltiples
del archivo puede ayudar a identificar las áreas del sistemas, cada caso puede contener uno o más hosts.
sistema de archivos que puedan contener evidencia. Cada host corresponde a un sistema cuya información
Autopsy puede crear líneas de tiempo que contengan está siendo utilizada en el análisis y cada uno puede
entradas para los cambios MAC de archivos alocados y tener su propia zona horaria. Con esta información,
no alocados. Autopsy puede correlacionar eventos que pasaron en
diferentes zonas horarias automáticamente.
6.4.5 Análisis de Meta data: las estructuras Meta Data
contienen detalles de archivos y directorios-Autopsy Cada host tiene múltiples imagenes. Cada imagen
permite ver los detalles de cualquier estructura meta data corresponde a un sistema de archivos en el sistema
en el sistema de archivos. Esto es útil para recuperar sospechoso. Un sistema Windows con solo una partición
contenido borrado. Autopsy buscará en los directorios 'C:\' tendrá una imagen mientras un sistema Solaris con
para identificar la ruta completa del archivo que tiene la 5 particiones tendrá 5 imágenes.
estructura.
6.5.1 Detalles de los Casos
6.4.6 Análisis de Unidades de Información: Las
unidades de información son donde el contenido de los Cada caso tiene un directorio en el Evidence Locker. El
archivos es guardado. Autopsy permite ver los nombre del directorio corresponde al nombre del caso.
contenidos de cualquier unidad de información en una Para renombrar un caso, simplemente se renombra el
variedad de formatos como los son ASCII, hex y directorio.
cadenas. Autopsy también puede buscar por tipo de
archivo. # mv caso_viejo caso_nuevo

6.4.7 Detalles de Imágenes: Los detalles de los El archivo case.aut es el archivo de configuración del
sistemas de archivos pueden ser vistos, incluyendo el caso. Contiene la fecha de creación del caso y los
layout del disco y tiempos de actividad. nombres de los directorios que están reservados para
uso futuro.
6.4.8 Integridad de la imagen: Es crucia asegurar que
los archivos no son modificados durante el análisis. El archivo case.log es el archivo de auditoria para el
Autopsy, por defecto, genera un valor MD5 para todos caso.
los archivos importados o creados. La integridad de
cualquier archivo que Autopsy use puede ser validada en El archive investigators.txt contienen una lista de todos
cualquier momento.
los investigadores involucrados en la investigación. Estos
nombres se usan para log y no para autenticación.

29
6.5.2 Detalles de Host F.I.R.E comprende probablemente la totalidad de las
herramientas que un investigador puede necesitar para
Cada Host tiene un directorio en el directorio del caso. atender una situación relacionada con Informática
Por lo tanto, para renombrar el host simplemente se Forense. Adicionalmente proporciona herramientas útiles
renombra el directorio. para el administrador como antivirus, un S.O. básico y un
Test de penteración
El directorio del host contiene 5 directorios:
Conclusiones de Disk Investigator:
• images: Donde están ubicadas todas las
imágenes del sistema Disk Investigator permite visualizar todo el contenido de
• logs: Donde están guardados todos los archivos un disco sin tener en cuenta el sistema operativo, sin
de log del caso. embargo solo soporta sistemas de archivos FAT12,
• output: Donde están todos los archivos de FAT16, FAT32 y NTFS, por lo cual no hace posible su
output generados por autopsy. utilización para análisis forense en estos sistemas de
• reports: Contiene los reportes creados por archivos, lo cual puede ser una limitación.
Autopsy.
El algoritmo de recuperación de archivos borrados, solo
El archivo de configuración del host, el host.aut, está tiene en cuenta los encabezados de los mismos, lo cual
localizado en el directorio del host. Contiene las entradas no asegura su recuperación debido a que los cluster y
de los archivos usados por el host y la zona horaria. sectores asignados al archivo por el sistema operativo
antes de ser borrado, pueden ser nuevamente asignados
6.5.3 Detalles de la Imagen. en la creación de nuevos archivos. Su limitación consiste
en que solamente recupera en sistemas de archivos FAT
Cada imagen debe ser localizada en el directorio de no NTFS.
imágenes el host. Cuando la imagen es analizada toda la
información generada es salvada en el directorio output. La utilidad de la herramienta en el análisis forense se
encuentra en que esta permite obtener la información del
6.5.4 Detalles de los Logs. medio de almacenamiento (floppy, disco duro,
memorias), revisar el contenido completo del disco
saltándose así la ilusión del sistema de archivos, con lo
El archive autopsy.log contiene entradas por cada vez
cual se puede obtener información del espacio libre (no
Autopsy es empezado o apagado. Este log identifica
utilizado) y del espacio no alocado. Además permite
cuando se empezó Autopsy, en qué Puerto y en cual
realizar búsquedas por contenido con lo cual se puede
host.
conseguir la información deseada. Su limitación es que
no permite manejar los sectores dañados del disco (bad
Los logs de los casos están guardados en el archivo sector), en los cuales puede haber información
case.log. Este log contiene las entradas para cuando fue escondida.
creado el caso, cuando es abierto y cuando los hosts en
el caso son abiertos.
Como ya se ha mencionado esta aplicación tiene ciertas
limitaciones: no maneja bad sectors, no maneja sistemas
de archivos diferentes a FAT y NTFS, y no permite
III. CONCLUSIONES
recuperar información de sistemas NTFS, además en el
modo directorio no permite visualizar el contenido del
disco si el directorio raiz o la el sector de FAT se
Conclusión de FIRE:
encuentran borrados en el disco, con lo cual tiene utilidad
forense en casos restrictivos.
La principal ventaja de F.I.R.E frente a sus competidores
es la simplicidad que proporciona al ser un ambiente de
investigación portátil. Conclusiones de Gpart:

Vale la pena decir que este kit forense es de distribución


libre, lo que claramente es una ventaja frente otros kits. GPART no se comporta bien con particiones extendidas,
Sin embargo, debido a que es una compilación de pero resulta muy útil para la reconstrucción de tablas
herramientas, la documentación no siempre es completa primarias de particiones, en especial cuando el objetivo
y en ocaciones resulta difícil aprovechar plenamente las es recuperar particiones primarias o lógicas que han sido
funcionalidades del kit. borradas.

La calidad de las herramientas que proporciona F.I.R.E GPART es práctica porque permite desprenderse del
es una mezcla de programas excelentes y proyectos por límite impuesto por la tabla primaria de particiones y el
terminar. De acuerdo a esto, es necesario familiarizarse sector 0. Con un poco de práctica se logran archivos de
con la herramienta antes de empezar debido a que en patrones que minimizan los errores y aumentan la
ocasiones hay más de una herramienta que juega el probabilidad de éxito, sin embargo es una herramienta
mismo papel dentro del Kit, lo que hace necesario que requiere de tiempo por parte del investigador para su
escoger la mejo opción. afinamiento.
30
Conclusiones de Wipe: [5] Nester, “wipe: Secure file deletion”.
http://wipe.sourceforge.net/
WIPE es una herramienta necesaria en ambientes de [6] WyrmCorp, “Wipe manual”.
trabajo en los que la seguridad de la información es http://www.wyrmcorp.com/software/archive/tut/wipe.shtml
importante en el momento de desechar o cambiar la [7] Dug Song. Dsniff
función de almacenamiento de un dispositivo magnético. http://www.monkey.org/~dugsong/dsniff/.
[8] DataNerds, Dsniff.
http://www.datanerds.net/~mike/dsniff.html
El borrado seguro opera de forma correcta, sin embargo
[9] Oshu, Dsniff: Use and Abuse.
la restricción impuesta por fdatasync [6] es que la unidad
soporte la desactivación del cache, cosa que no es un http://web.textfiles.com/hacking/dsniff.txt
[10] Duane Dunston (GSEC), Network Monitoring with
estándar y no se puede garantizar que este presente en
Dsniff.
todos los equipos. La herramienta permite configurar
algunas opciones como por ejemplo el número de http://www.linuxsecurity.com/feature_stories/feature_stor
pasadas. y-89.html
[11] Stuart McClure & Joel Scambray, Switched Networks
Lose Their Security Advantage Due To Packet Capturing
Conclusión de Dsniff: Tool
http://archive.infoworld.com/articles/op/xml/00/05/29/0005
Dsniff es una herramienta de gran ayuda para monitoreo 29opswatch.xml
y auditoria de redes. Existen otras formas de monitorear [12] Hide and Seek: An Introduction to Stegangography.
una red pero esta forma es completamente favorable en Niels Provos and Peter Honeyman, IEEE Security &
lo que se refiere a costos porque las herramientas Privacy Magazine, May/June 2003.
mencionadas son de libre distribución. La única solución [13] Extracting datta embedded with Jsteg.
real para el arp-spoofing es la encripcion de datos. http://www.guillermito2.net/stegano/jsteg/
Usando aplicaciones que encriptan el tráfico, los usuarios [14] Invisible Secrets
pueden al menos estar más seguros de que su http://www.invisiblesecrets.com
información estará a salvo de los ojos espías. La [15] The Sleuth Kit Informer. Issue 1
solución para detectar que se esta realizando arp- http://www.sleuthkit.org/informer/sleuthkit-informer-
spoofing es monitorear el trafico ARP en la red y detectar 1.html#jail
cuando han cambiado las entradas ARP. [16] The Sleuth Kit Informer. Issue 2
http://www.sleuthkit.org/informer/sleuthkit-informer-
Conclusiones de StegDetect. 2.html#caseman

No creo que las condiciones en que se llevaron a cabo


las pruebas ni el numero de pruebas sirva para sacar
una conclusión relevante acerca de la efectividad y / o
eficiencia de StegDetect lo que si es cierto es que en
general esta herramientas están en un estado básico de
desarrollo por lo que tiene múltiples problemas de
confiabilidad y estabilidad, en muchas ocasiones aparte :: Camilo Vergara
:: ca-verga@uniandes.edu.co
de las reportadas como pruebas fallidas los programas :: Estudiante de Ingeniería de Sistemas y Computación.
bloqueaban el sistema. La única excepción es Invisible Universidad de los Andes. Bogotá. Colombia.
Secrets que además de ser la única con GUI no se trabo
nunca, cabe señalar que es la única de esta herramienta
que no es freeware. :: Carlos I. Ospina
:: ca-ospin@uniandes.edu.co
:: Estudiante de Ingeniería de Sistemas y Computación.
Existen otras herramientas como StegHide para Universidad de los Andes. Bogotá. Colombia.
esconder información en archivos JPEG pero como la
documentación de StegDetec no reporta la detección en
los archivos generados por estas herramientas no se :: Jaime A. Rojas
hicieron pruebas con estos archivos. :: jai-roja@uniandes.edu.co
:: Estudiante de Ingeniería de Sistemas y Computación.
Universidad de los Andes. Bogotá. Colombia.
VI. REFERENCIAS

[1] F.I.R.E :: Juan F. Carrillo


http://fire.dmzs.com :: j-carril@uniandes.edu.co
:: Estudiante de Ingeniería de Sistemas y Computación.
[2] Disk Investigator. Universidad de los Andes. Bogotá. Colombia.
http://www.theabsolute.net/sware/dskinv.html
[3] Ayuda de la aplicación Disk Investigador. Kevin
Solway 2002. :: Mauricio Rangel
[4] Michail Brzitwa, “gpart MAN-PAGE”. :: ma-range@uniandes.edu.co
http://www.stud.uni-hannover.de/user/76201/gpart/gpart- :: Estudiante de Ingeniería de Sistemas y Computación.
man.html Universidad de los Andes. Bogotá. Colombia.

31
Introdução Conteúdo

Funcionários que utilizam a Internet para fins ilegais, 1.) Primeiro Dia – Conceitos Gerais da Análise
colaboradores que acessam informações não- Forense
autorizadas, concorrência desleal, invasores que
destroem arquivos críticos: estes são alguns exemplos Manhã – Equalização de Conhecimentos
de ameaças que enfrentamos no dia-a-dia –
principalmente em ambientes de forte concorrência. O • O que é Forensics?
curso de forense computacional vem ao encontro desta • O que pode ser investigado?
nova necessidade: investigar situações anômalas ou • Caracterização de crime computacional
suspeitas, identificar e nomear ocorrências, coletar • Qual é o perfil do perito?
provas. • Estatísticas de crimes virtuais no Brasil e no mundo

Forensics significa investigar, averiguar – é o termo Tarde - Incidentes


utilizado para caracterizar o processo de coleta de
evidências que possibilitem um juízo seguro acerca de • Tipos de incidentes
determinada situação.
• Como iniciar uma análise forense
• Normas Internacionais de forense
Podemos descrever forense computacional como sendo
o processo de investigação de eventos não-autorizados
através da coleta, autenticação e análise das
2.) Segundo Dia – Coleta de Evidências e Corrente de
informações relacionadas. A proposta é realizar uma
Custódia
investigação sobre ações de burla a controles de
segurança utilizados na organização.
Manhã – Evidências

• Checklist para início das Atividades


Público Alvo • Salvaguarda do Ambiente
• Tipos de Evidência
Este curso destina-se a Security Officers, Consultores de
Tarde – Evidências e Processo de Investigação
Segurança, Auditores, Gestores de Tecnologia, Gestores
Administrativos, Advogados, Acadêmicos, entre outros.
Turno P • Coleta e Preservação de Evidências - Corrente de
rimeiro Dia Custódia
Vagas • Armazenamento e Rótulo de Evidências
• Tipo de investigação: litigiosa e não litigiosa
40 alunos / 1 turma • Guidelines / Best Practices

3.) Terceiro Dia – Ferramentas de Perícia e Aspectos


Objetivo Legais

• Apresentar ao participante os termos, conceitos, Manhã – Ferramentas de Apoio


normas e metodologias de análise forense em
tecnologia da informação; • Ferramentas de Auxilio a Perícia Técnica
• Utilização do Software Encase
• Apresentar software e ferramentas comumente • Imaging: WinHex, Safeback e Copy Linux
utilizadas durante o processo de perícia; • Analisadores de texto
• Undelete: R-Undelete, Recover4All
• Alertar quanto aos procedimentos que devem ser • Password Crackers
tomados no início de um processo de perícia;
Tarde – Sobre o ISSFA e Avaliação
• Apresentar referências da disciplina de forensics
com os diversos controles de segurança da • Como funciona o IISFA e outras organizações
informação. internacionais

32
Material Didático Local

Apresentação do tema pela metodologia ativa dirigida, Hotel Paulista Plaza


material para projeção em multimídia. Distribuição de Alameda Santos, 85 - Jardins
material escrito aos participantes e realização de estudos São Paulo – SP
de caso.
Inscrições
Avaliação / Certificados
O valor do curso será de:
Os alunos serão avaliados através de prova escrita com
50 questões. Alunos aprovados na avaliação receberão R$ 2.131,00 para inscrições feitas até dia 21 de junho
certificado comprovando amplo conhecimento em R$ 2.500,00 para inscrições feitas do dia 22 de junho até
Forensics. a data do curso.

Instrutores Estes valores deverão ser faturados em 50% no ato da


inscrição e restante deverá ser pago no dia 22 de julho.
F. F. Ramos, CISSP: Consultor de Segurança da Estão incluídos neste valor os custos do almoço
Informação, CISSP, especialista em Security Policies, Risk individual, coffee-break pela manhã e a tarde para os
Analysis e Security Management, atual Presidente do três dias do curso.
IISFA – International Information System Forensics
Association para o capítulo Brasil. Para informações sobre inscrições entrar em contato
com:

Victor Hugo Menegotto: Consultor de Segurança da Axur Information Security


Informação, especialista em Forensics e perícia técnica, Andreza Schwerner
conselheiro do Brazilian Chapter da IISFA – International Fone: (51) 3222 2874
Information Systems Forensics Association. E-mail: main@axur.com.br ou aschwerner@axur.com.br
www.axur.com.br

33
ORQUE IM PLEM ENTAR UM A POLÍTICA DE
SEGURANÇA DA INFORM AÇÃO

José Edmir Pininga Duque

A informação é um dos componentes do patrimônio das Esforços para padronização e pontos para certificação, já
empresas, que muitas vezes é desprezada, diminuída, estão sendo desenvolvidos, no sentido de minimizar os
até ser perdida. Nesse momento, muitas dores de trabalhos de elaboração de uma política de segurança da
cabeça, perda de tempo, dinheiro, esforço e muito informação. A Request for Comments (RFC) 2196, a
trabalho são gastos na sua recuperação, quando British Standard BS ISO/IEC 7799-1, a BS ISO/IEC
possível, na elaboração de mecanismos de bloqueio de 7799-2, e a Norma Brasileira NRB ISO/IEC 17799 por
acesso e na atribuição de responsabilidades. exemplo, são atividades com este propósito.

Certamente as razões para não seguir uma política de Cuidar desse componente do patrimônio das empresas é
segurança da informação, poderão ser atribuídas às uma função complexa, multidisciplinar, e de
dificuldades do excesso de burocracia, lentidão, maiores responsabilidade de todos. A existência de um
custos, etc, quer seja em uma grande empresa ou em documento, um conjunto de regras a serem seguidas,
um pequeno escritório. Porém, nunca é demais lembrar certamente facilitará a observância das atitudes voltadas
que o conforto é inversamente proporcional a segurança. à segurança da informação. Assim, o documento Política
de Segurança da Informação, será o instrumento que
Sabe-se que a maldade está presente na natureza dará embasamento à Empresa, tanto nas questões
humana. Em todas as civilizações existem registros de legais internas, elencando o que pode o que não pode
iniqüidades, sempre usando dos recursos disponíveis. ser feito, como nas questões de aderência à legislação,
Na cultura ocidental, o primeiro ato de perversidade como respeito à lei de direitos autorais.
registrado, está na Bíblia, como resultado da inveja de
Caim por Abel. Nas questões de atribuições de responsabilidades, o log
ou registro de atividades, será certamente a ferramenta
Para os cristãos, Jesus foi crucificado entre dois ladrões. que possibilitará à Empresa, comprovar a existência de
Para nós brasileiros, Calabar traiu Tirandentes por ações delituosas. Para que isto aconteça, a Política
vantagem financeira. Depois do homem pisar na lua, deverá legitimar a prática e justificar os investimentos.
apareceram os espertalhões que venderam terrenos Podemos então intuir que a prática da elaboração,
lunáticos. Pode-se esperar, então, que pessoas implementação e manutenção de uma Política de
invejosas como Caim, queiram praticar atos de maldade Segurança da Informação nas Empresas, é uma atitude
com as informações da sua empresa; que ladrões como salutar que envolve a questão do zelo do patrimônio, o
os que margeavam Jesus, queiram roubar arquivos da aspecto de disciplinar, e a visão de irrefutabilidade dos
sua rede; que espertalhões que dominam a tecnologia, atos, e que este documento, deve ser elaborado de
por vantagem financeira, queiram praticar atos ilícitos conformidade com a Empresa, dentro das suas
usando as informações que ora estão armazenadas nos particularidades.
computadores da sua empresa ou são acessadas
através deles. Uma política de segurança de informação
poderá ajudar a prevenir estes atos.

Sabe-se também, que a segregação de função não pode


ser igual em todas as empresas. A importância de
procedimentos de inclusão de novos usuários e também
os cuidados na saída de usuários terão pesos diferentes
nas diversas empresas.
:: José Edmir Pininga Duque
Reportar incidentes de falhas de hardware pode parecer :: pininga@alpargatas.com.br
de pouca importância para o escritório de contabilidade, ........:: Analista de Suporte - São Paulo Alpargatas
porém para um provedor de acesso à Internet, terá Graduado em Ciência da Computação - PUC / PE, Pós-Graduando
em Internet Security (Advanced School of Internet Security).
importância vital.

34
Foi fundado no dia 15 de abril de 2004 o capítulo Brasil informações sobre Segurança da Informação, abordando
da IISFA – International Information System Forensic principalmente aspectos estatísticos de invasões,
Association, primeiro capítulo da organização na América fraudes eletrônicas e incidentes de segurança no
do Sul. A IISFA é uma organização sem fins lucrativos mercado brasileiro. Rodrigo apresentou o capítulo,
que tem por missão promover globalmente a disciplina explicando o seu conceito e objetivos, apresentou
da análise forense relacionada a ativos de informação. É também as metas para o ano de 2004. Uma das
hoje a maior comunidade de profissionais especializados principais metas do IISFA Brasil, segundo Rodrigo é
em análise forense no mundo. A IISFA é composta por consolidar a cultura de forense computacional no país.
profissionais de segurança atuantes em vários campos:
advogados, técnicos, peritos, O Brasil é atualmente o maior
educadores, consultores, originador de ataques, segundo
auditores – tanto da iniciativa estatísticas do NIC-BR, o número de
pública quanta da iniciativa crimes por internet subiu 498% de
privada. Com esta iniciativa 2002 para 2003. A grande maioria
nosso objetivo é estar trazendo das ações criminosas realizadas
para o Brasil um conjunto de através da internet ou por meio da
melhores práticas para a tecnologia, não são tratadas de forma
aplicação de perícias técnicas, adequada, tanto no sentido pericial,
área em que nosso país ainda é quanto no sentido legal.
muito deficiente.
Para associar-se ao IISFA basta acessar o site
A inauguração da IISFA contou com a participação de http://www.iisfa.org e realizar o cadastro. Os encontros
diversos profissionais atuantes em vários campos. Foram deverão ocorrer tanto em São Paulo quanto em Porto
apresentados: o presidente da IISFA Brasil, Fábio Alegre. O convite é feito a todos os profissionais do país.
Ramos, o vice-presidente, Victor Hugo Menegotto, e os
conselheiros, Douglas Mello, Alexandre Horch, Alex
Sventinckas, Rodrigo Azevedo e Marco Vinício Barbosa Contato:
Dutra. O evento foi organizado pela AMCHAM –
American Chamber of Commerce e patrocinado pela www.iisfa.org
Axur Information Security e Silveiro Advogados.

A apresentação foi realizada por Fábio Ramos e Rodrigo Fábio Ramos, CISSP
Azevedo. Fábio contextualizou os participantes com framos@axur.com.br

35
SIRTS, O CAM INHO PARA UM A RÁPIDA E
EFICIENTE RESPOSTA A UM INCIDENTE DE
SEGURANÇA
Igor Silva

A necessidade de rapidez e eficiência na resposta de um longa caminhada. Na Internet, é possível encontrar vasta
problema é cada vez mais comum nos dias de hoje. documentação sobre o assunto:
Principalmente em grandes organizações, este fator é de
extrema importância. Links

Muitos exemplos podem ser mostrados, como conexão • NBSO (NIC BR Security Office):
internet fora do ar, website, correio eletrônico e outros. http://www.nbso.nic.br/csirts
Estes incidentes, geram transtornos na operação de uma
organização. Se não existe um processo rígido de • CERT: http://www.cert.org/csirts
tratamento de incidente e escalonamento eficiente, esta
falha pode causar uma analise vaga, recuperação não • CSIRT FAQ: http://www.cert.org/csirts/csirt_faq.html
satisfatória, custo de perda extremamente alto e o risco
de uma suposta reincidência. • Tradução -
http://www.nbso.nic.br/certcc/csirts/csirt_faq-br.html
Este cenário é comum em todos os setores e não
poderia ser diferente na área de segurança. CSIRT • FIRST (Forum of Incident Response and
(Computer Security Incident Response Team ou Grupo Security Teams) - http://www.first.org
de Resposta a Incidentes de Segurança), nada mais é,
que um grupo ou mesmo parte de um time de uma • Handbook for Computer Security Incident
"Operação" capacitada em receber, analisar e responder Response Teams (CSIRTs)
a incidentes de segurança dentro de uma organização. O http://www.sei.cmu.edu/publications/documents/98.r
CSIRT também é capaz de exercer funções pró-ativas eports/98hb001/98hb001abstract.html
visando não só prevenir ocorrências, como também
minimizar o tempo de resposta aos incidentes. Livros

A capacidade para responder com rapidez e eficiência a • Incident Response: Investigating Computer
um incidente de segurança é um elemento essencial Crime : de Chris Prosise e Kevin Mandia (McGraw-
para prover um ambiente seguro dentro de uma Hill Professional Publishing, ISBN: 0072131829).
organização. É necessário construir um time
devidamente treinado, definir adequadamente a missão • Incident Response : Kenneth R. van Wyk, Richard
do grupo, objetivos, processos, políticas e estratégias Forno (O'Reilly, ISBN: 0-596-00130-4).
permitindo uma interatividade com toda a organização de
uma maneira transparente. • The Internet Security Guidebook : From Planning
to Deployment de Juanita Ellis, Tim Speed, William
Com a centralização do contato para relatar incidentes, P. Crowell (Academic Pr, ISBN: 0122374711).
obtemos:
• Incident Response : A Strategic Guide to
• Maior controle sobre o incidente; Handling System and Network Security
Breaches de E. Eugene Schultz, Russell Shumway
• Redução do impacto; (ISBN: 1578702569).
• Redução de tempo na recuperação;
• RFCs : (http://www.ietf.org/rfc.html)
• Resposta eficiente do ambiente impactado.
• RFC 2196 - Site Security Handbook
Outro fator muito importante é a comunicação do CSIRT
com outros CSIRTs. Um ótimo exemplo seria a • RFC 2350 - Expectations for Computer Security
ocorrência de um grave incidente envolvendo diversas Incident Response
organizações. A comunicação entre os CSIRTs neste
exemplo, seria o ponto chave para responder com
eficiência o incidente. Este é o caminho para uma rápida :: Igor Silva
e eficiente resposta a um incidente de segurança. Pode :: volcov@terra.com.br
até parecer fácil, mas exige muita paciência pois é uma :: Segurança da Informação.

36
37
INKS

: CCF - Center for Computer Forensics


Empresa especializada em computação forense.
http://www.computer-forensics.net

: Computer Forensic Services


Serviços em computação forense.
http://www.computer-forensic.com

: E-evidence
Centro de Informações em Evidências Eletrônicas.
http://www.e-evidence.info

: Forensic Focus
Notícias sobre computação forense.
http://www.forensicfocus.com

: ForensicPC
Shopping forense.
http://www.forensicpc.com

: Guidance Software
Soluções para computação forense e resposta a incidentes, criadora do software EnCase.
http://www.encase.com

: ILook
Ferramenta usada para capturar e analisar imagens de sistemas.
http://www.ilook -forensics.org

: Linux Forensics
Criadora do CD bootável Penguin Sleuth.
http://www.linux-forensics.com

: Spinelli Corporation
Empresa especializada em investigação e análise forense.
http://www.spinellicorp.com

: Technology Pathways
Produtos para segurança, destacam-se o ProDiscover - Forensics e ProDiscover - Incident Response.
http://www.techpathways.com

38