PERÍCIA EM INFORMÁTICA Aula 07 – Principais desafios em exames forenses em dispositivos de armazenamento computacional Curso de Sistemas de Informação. Prof. Diovani Milhorim

Exames em dispositivos de armazenamento Durante a perícia em dispositivos de armazenamento algumas dificuldades podem ser enfretadas pelo técnico, tais como: Quantidade de arquivos analisados. Existência de senhas Engenharia reversa Criptografia Esteganografia

Exames em dispositivos de armazenamento Quantidade de arquivos analisados. Um sistema operacional moderno pode ter até mais de um milhão de arquivos. Como localizar as evidências requisitadas? Uso de filtros (KFF, autopsya, etc... Busca por palavras chaves Requisitos bem definidos (saber o que se procura)

Exames em dispositivos de armazenamento Existência de senhas É comum se encontrar arquivos protegidos por senhas( zip, pdf, word, etc...). Neste caso será necessários se “quebrar” a senha por meio de técnicas específicas, tais como: Ataque de força bruta Ataque de dicionário Utilização de rainbow tables Engenharia social

Exames em dispositivos de armazenamento Existência de senhas Ataque de força bruta Descoberta de senha por método de tentativa e erro, em que todas as combinações de um domínio predefinidos são testadas até que se acerte a senha. Dominio: parâmetros para composição de candidatos a senha. Ex: número de caracteres Maiúsculas e minúsculas Uso de caracteres especiais.

Exames em dispositivos de armazenamento Existência de senhas Ataque de força bruta Demanda muito esforço computacional e pode demorar muito tempo. O uso de softwares especiais para a tarefa é necessário. Ex: Passware kit enterprise Password recovery bundle AdvancedZip Password recovery AdvancedRar Password recovery Advanced Pdf password recovery Password recovery kit Ophcrack (recuperar senhas de sistemas op. Microsoft)

Exames em dispositivos de armazenamento Existência de senhas Ataque de dicionário Outro método de tentativa e erro, mas diferente do método de força bruta o domínio de senhas é constituído de palavras prontas. Tais palavras são armazenadas em uma lista chamada de “dicionário”. Geralmente são mais eficientes do que o ataque de força bruta desde que o dicionário utilizado seja adequado. Uma boa proposta é gerar o dicionário com palavras extraidas do dispositivo analisado. O FTK possui dicionários que podem ser baixados da internet.

Exames em dispositivos de armazenamento Existência de senhas Engenharia social: Consiste em descobrir a senha de arquivos e sistemas a partir de entrevistas com as pessoas envolvidas no caso. Em alguns casos pergunte a senha. Em caso de senhas de softwares utilize senhas default de fabricantes.

Exames em dispositivos de armazenamento Existência de senhas Rainbow tables: Softwares que se utilizam de tabelas de hash pré compiladas. Trata-se de um método de tentativa e erro para senhas que se utilizam de hash para encobrir seu conteúdo. Onde achar: Freerainbowtables.com Rainbowtables.shmoo.com

Exames em dispositivos de armazenamento Engenharia reversa e alteração de código fonte Engenharia reversa. “Processo que consiste basicamente em analisar um programa, a fim de criar uma representação de alto nível, ou seja, recuperar um projeto de software para que ele possa ser entendido.” Pressman(2006)

Exames em dispositivos de armazenamento Engenharia reversa e alteração de código fonte Engenharia reversa. Consiste em analisar arquivos executáveis de um programa, alterando seu código, com o objetivo de suprimir a necessidade de senha para acesso a este programa. Processo muito técnico e minucioso que exige conhecimentos específicos do perito. Uso de softwares especializados geralmente é necessário.

Exames em dispositivos de armazenamento Criptografia Criptografia é uma técnica utilizada para transformar uma informação na sua forma original para outra ilegível. Algoritmos complexos são estudados e inventados a fim de proteger as informações e dificultar o processo inverso. Cabe ao perito vasculhar o dispositivo de armazenamento a fim de localizar algum software de criptografia.

Exames em dispositivos de armazenamento Esteganografia Técnica que consiste de ocultar uma mensagem dentro de outra. Enquanto a criptografia tenta codificar o conteúdo, a esteganografia tenta “camuflar a mensagem”.

Exames em dispositivos de armazenamento Esteganografia Exemplo: técnica extremamente simples de esteganofria. Frase: Onde um ritmo ouve sinos Primeira letra de cada palavra: OUROS

Exames em dispositivos de armazenamento Esteganografia É comum o uso de esteganografia com criptografia, gerando mensagens de decodificação extremamente difícil. O primeiro passo na decodificação é descobrir os métodos utilizados.

Exames em dispositivos de armazenamento Prática: Uso do Passware Kit enterprise.