quinta-feira, 25 de agosto de 2011

Análise de evidências embutidas em imagens


Luis Sales Rabelo*

OCR, sigla em inglês para Optical Character Recognition, é uma tecnologia que permite reconhecer caracteres de texto em imagens, transformando-nos em texto editável. Esta tecnologia é muito popular hoje em dia, pois a grande maioria dos scanners acompanha pelo menos um programa de OCR, que pode ser usado para obter texto de páginas impressas, substituindo a digitação manual.

As fontes True Type utilizadas pelos editores de texto são gravadas em modo vetorial, uma descrição matemática das curvas e linhas que compõem o caracter. Esse recurso permite que o tamanho da fonte seja alterado livremente, sem perda de qualidade. Um programa de OCR atua basicamente comparando os caracteres digitalizados com estas fontes gráficas.





Inicialmente, o programa examina a página para mapear os espaços em branco, reconhecendo títulos, colunas, parágrafos e imagens, o que permite manter a ordem correta do texto. Programas de OCR mais avançados, são capazes de manter toda a formatação da página. O segundo passo, consiste em comparar cada caracter com modelos de fontes suportadas pelo OCR. Havendo uma certa porcentagem de coincidência, o caracter é reconhecido. Como este primeiro processo demanda uma semelhança muito grande entre as fontes e os caracteres digitalizados, muitos acabam não sendo reconhecidos. Mas ainda não é o fim do mundo =)

Nos caracteres não reconhecidos, é aplicado um segundo processo bem mais minucioso, que consiste em analisar geometricamente cada caracter, calculando a altura, largura, e combinações de retas, curvas e áreas em branco. Novamente, é usada a lei da probabilidade: um caracter com uma curva em forma de meia lua que continua na forma de uma reta, por exemplo, tem uma grande chance de ser um "d" minúsculo.

Esse segundo processo é muito mais demorado, pois para cada letra é preciso gerar todo um novo conjunto de caracteres gráficos. Se mesmo com o exame minucioso, não for possível reconhecer o caracter, o programa poderá utilizar um corretor ortográfico para corrigir erros bobos, ou preecher espaços vazios. Com a ajuda do corretor, "Ca1e-se" seria substituído por "Cale-se" e "Paralele#Ìpe~o" seria alterado para "Paralelepípedo".

Uma última alternativa para reconhecer caracteres ilegíveis, pode ser mostrar individualmente o bitmap de cada caracter não reconhecido e, pedir ao usuário que o substitua pela letra correspondente, ou então, simplesmente, usar um s;imbolo como ~,% ou # no lugar do caractere para que o usuário possa corrigir o erro manualmente depois.

Em computação forense, algumas vezes nos deparamos com casos que a evidência principal está embutida em uma figura, como por exemplo um print screen de uma tela suspeita, ou várias paginas digitalizadas de um arquivo. Esses conteúdos dos arquivos de imagens não são responsivos a uma busca por palavra-chave.



Print Screen, você está fazendo isso errado...


Para resolver esta questão, a AccessData implementou o recurso OCR que reconhece caracteres dentro de um arquivo de imagens e fotos no HD suspeito. Seu uso é bastante simples, e uma vez processado e indexado, o FTK utiliza o Index Search para que as palavras sejam localizadas nas figuras. Para processar as evidências com o OCR, o perito deve, ao adicionar a evidência, clicar em "Refinement Options":




Depois de abrir o "Refinement Options"o perito deve marcar a opção "Optical Character Recognition" e depois clicar em "OCR Options...".










Como se pode ver, na tela OCR Options o perito pode escolher os tipos de arquivos que serão analisados pela engine do OCR. O engine é o algorítimo que será utilizado para processar os arquivos. Dependendo da sua licença, estará disponível o Tesseract (http://4n6.cc/QdPt6) ou GlyphReader (http://4n6.cc/3dT2W).




Depois de processar a evidência com a opção OCR marcada, o perito deve ir até o Index Search para fazer sua busca.


A pesquisa é feita normalmente sem distinção entre busca em arquivo de texto e arquivo de imagem. Simples, basta processar o caso/evidência com OCR e depois realizar as buscas desejadas. Caso a palavra-chave seja encontrada em um arquivo gráfico, este arquivo será responsivo ao critério de busca!

Veja uma demonstração do recurso no vídeo a seguir:








*Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/


segunda-feira, 22 de agosto de 2011

Por que precisamos mais do que sistemas de prevenção de ataques?


Por Rodrigo Antão*

Em eventos, happy hours, reuniões de negócio que tenho feito com profissionais de segurança da informação tenho me deparado com um número cada vez maior de profissionais muito confortáveis com suas estruturas de prevenção de incidentes.

Trabalhando com soluções de resposta a incidentes e forense computacional há algum tempo acabo passando por arauto do mau agouro. Sempre tento contemporizar as conversas com os fatos recentes, amplamente divulgados na mídia, dos ataques contra empresas e governos do mundo todo. Quando levanto essas situações os profissionais de segurança e TI sempre trazem números e estatísticas que mais parecem vir da boca de analistas de mercado financeiro: “...tantos por cento de block..”, “... tendência de queda...”.

A solução que mais tenho ouvido sobre defesas grandiosas é o DLP (Data Loss Prevention) ou Prevenção a Vazamento de Dados. Tive algumas experiências com diretores e vice-presidentes de grandes empresas brasileiras que me deram aulas de DLP, com todos os argumentos de venda da solução (ponto pro time de marketing deles). Em vários casos parece que eles me chamaram – um cara de reação e defesa – para confirmar a boa escolha que fizeram.

Nas primeiras reuniões quase me convenci que o mundo havia realmente virado uma réplica do Éden e que agora todos as informações estavam para sempre a salvo dos incautos fraudadores internos.

Estive um dia desses numa grande empresa do ramo financeiro em São Paulo, fui falar com o Diretor de Riscos e Compliance. Para cada item da apresentação que eu fazia ele apontava uma das funcionalidades do DLP que estava implementando, tipo: “Isso eu faço com DLP Data in Motion, aquilo eu faço com DLP Data at Rest, aquilo outro eu coloco um agente no servidor e resolvo...”. Confesso que fiquei muito feliz, há anos não via tamanha defesa tecnológica por parte de um cliente. Sinal de maturidade e desejo real de entender o que precisa ser feito para mitigar os problemas internos por meio da tecnologia. Mas algo ali ainda não estava certo.

Essas situações me remetem à palestra de Bruce Schneier, o papa da segurança da informação, no TED - Ideas Worth Spreading: “The Security Mirage”. Schneir diferencia a sensação de segurança com a realidade e alerta: “Você pode se sentir seguro, mesmo que não esteja; e você pode estar seguro, mesmo que não sinta”.

Você pode se sentir seguro quando tranca a porta da sua casa, mas você está realmente seguro? Você pode se sentir seguro quando protege os ativos de sua empresa com soluções de prevenção, mas você realmente está seguro ou é só uma sensação de segurança? O debate está posto. Posicione-se. Opine. Coloque o seu ponto de vista.

* Sobre Rodrigo Antão
Rodrigo Antão é gerente de negócios da TechBiz Forense Digital e professor do curso de pós-graduação da Faculdade Impacta. Possui mais de dez anos de experiência no mercado de tecnologia, também trabalhando como gerente de produto, gerente técnico e system engineer. É especialista em Segurança da Informação, Computação Forense, Anti-fraude e eDiscovery. É certificado no uso das seguintes tecnologias: ACE (Accessdata Certified Examiner); EnCE (Encase Certified Examiner); MCSA 2000/2003 (Microsoft Certified Systems Administrator); MCSE 2000 (Microsoft Certified Systems Engineer) e MSF Practitioner (Microsoft Solutions Framework Practitioner).




segunda-feira, 15 de agosto de 2011

Censura às redes sociais no Reino Unido

Os distúrbios no Reino Unido levaram o premier David Cameron ameaçar bloquear temporariamente as mídias sociais e torpedos. Um contrassenso. Em fevereiro, o premier elogiou o papel das mídias sociais na queda de regimes autocráticos, descrevendo-as como "uma poderosa ferramenta nas mãos de gente cansada de corrupção". Cameron ressaltara ainda que a liberdade de expressão e a internet deveriam ser respeitadas "tanto na Praça Tahrir quanto em Trafalgar Square."

A questão que se coloca hoje em Ponto de Vista é: é realmente possível cercear as mensagens em sites de redes sociais (Facebook), microblogs (Twitter) e mensageiros instantâneos (BBM - BlackBerry Messenger)? É possível monitorar continuamente todas os comentários dos usuários incitando a desordem pública? Até que ponto o rastreamento das mensagens BBM (que são privadas) para identificar os responsáveis pelos atos de vandalismo, se configura como violação da privacidade de todos os seus usuários?

Dê a sua opinião, coloque aqui o seu ponto de vista.




quinta-feira, 11 de agosto de 2011

Combate ao spear phising

*Marcelo de Souza

O termo spear phishing é relativamente antigo mas tem estado em destaque ultimamente, principalmente devido a ataques direcionados a algumas empresas e órgãos de governo. No phishing comum, um indivíduo mal intencionado envia milhares de e-mails sem um alvo específico, buscando vítimas aleatórias que possam “morder a isca”, no intuito de obter dados pessoais, senhas ou até mesmo visando disseminar malware para a criação de botnets. Já no spear phishing, a própria palavra spear (arpão, em inglês) mostra que o indivíduo tem um alvo específico em sua “pescaria”: uma ou mais pessoas que têm alguma relação com uma organização (funcionários de uma empresa, clientes estratégicos, etc.). Nesse caso, os e-mails enviados são cuidadosamente elaborados com conteúdo (modelo, assunto e informações) muito próximo do dia a dia do destinatário.

Em qualquer um dos casos de phishing, e ainda mais no spear phishing, o remetente se utiliza da engenharia social para alcançar seu objetivo. Contra isso a melhor alternativa ainda é a conscientização do usuário. Porém, como não se deve contar apenas com boas práticas dos usuários, várias soluções tecnológicas podem ajudar no combate às ameaças envolvidas.

É importante lembrar que o spear phishing é apenas parte do modus operandi de um atacante que visa comprometer a segurança ou obter informações sensíveis de uma organização. Como exemplo, os seguintes passos poderiam ser seguidos:

1) após a obtenção de dados do usuário de uma empresa alvo em fontes diversas (redes sociais, por exemplo), o atacante elabora e envia o e-mail de spear phishing contendo um arquivo PDF infectado com código malicioso para este destinatário;

2) o destinatário abre o arquivo num leitor de PDFs que possui uma vulnerabilidade não corrigida e que permite a execução do código malicioso;

3) o malware contido no PDF ou baixado da Internet pelo leitor vulnerável é executado, realizando instruções maliciosas na máquina do usuário e na rede local, ou até mesmo se comunicando com a Internet para enviar credenciais capturadas;

4) credenciais enviadas de volta para o atacante que criou o spear phishing são usadas para acesso à empresa-alvo, que permitiriam atividades diversas na rede, inclusive para vazar informações sigilosas.

Para detectar, identificar e corrigir ações decorrentes de ataques como este, a TechBiz Forense Digital oferece diversas soluções que, devidamente integradas, permitem a mitigação dos riscos associados.

Nos casos de incidentes como estes, é fundamental que exista a consciência situacional na iminência de um ataque. Para isso, produtos da NetWitness que realizam a captura de todo tráfego de rede da organização permitiriam a detecção do recebimento de e-mails com arquivos PDF anexos contendo payload malicioso. A solução NetWitness Spectrum seria capaz de analisar automaticamente o arquivo anexo ao e-mail e em tempo real alertar a presença de instruções maliciosas.

“Contra isso a melhor alternativa ainda é a conscientização do usuário. Porém, como não se deve contar apenas com boas práticas dos usuários, várias soluções tecnológicas podem ajudar no combate às ameaças envolvidas.”

Os eventos gerados pelos produtos da NetWitness poderiam ser enviados à solução de SIEM (Security Information and Event Management) da ArcSight, o ArcSight ESM, para correlação dos eventos e consequente escalonamento do incidente. Ao receber e correlacionar o evento “PDF malicioso enviado para fulano@empresa.com.br”, a solução pode ser capaz de gerar um alerta assim que o usuário acesse sua caixa de e-mails, agregando informações que possam identificar a máquina que seria infectada, e até mesmo aumentar o nível de severidade do alerta caso saiba que o software da máquina não está atualizado.O nível de detalhe dependerá da integração com outras ferramentas presentes no ambiente, tais como gateways de e-mail, scanners de vulnerabilidades, etc.

Outros níveis de defesa também seriam possíveis. As medidas citadas acima permitiriam apenas a detecção e identificação de ameaças, sendo cabível portanto outra solução de resposta que possa ser integrada às demais. Uma delas é a EnCase CyberSecurity, que responde ao incidente de infecção de uma máquina realizando a remediação e eliminação de artefatos maliciosos, permitindo também a investigação forense do ocorrido na máquina.

Na hipótese de invasão da rede interna da empresa, por conta de uma resposta inadequada ao incidente, também poderiam ser aplicadas as soluções da NetWitness e ArcSight para impedir outras consequências do ataque. Um exemplo seria impedir o vazamento de informações sigilosas. O produto NetWitness NextGen teria capacidade de detectar documentos específicos que estejam trafegando para fora da rede, informando para o ArcSight ESM que por sua vez dispararia um comando de bloqueio do tráfego no firewall, ou até mesmo de remoção do acesso da máquina à rede no switch. Tudo isso dependeria apenas da simples integração com os outros elementos de rede presentes no ambiente.

Conforme apresentado, a ameaça de spear phishing traz consigo uma série de outras ameaças que podem colocar em risco a segurança de uma organização. A TechBiz Forense Digital está apta a oferecer contra-medidas para todas elas, mitigando estes riscos com soluções integráveis para detecção, investigação e reação.

*Marcelo de Souza é consultor forense e líder técnico de soluções da ArcSight na TechBiz Forense Digital. Atua há 10 anos na área de segurança da informação, tendo trabalhado em empresas de telecomunicações e consultoria. Possui vasta experiência em detecção/prevenção de intrusões, resposta a incidentes e gestão de centros de operação de segurança (SOC).

quinta-feira, 4 de agosto de 2011

EID para análise de pornografia

* Luiz Sales Rabelo

Em computação forense, algumas vezes nos deparamos com casos que envolvem conteúdo pornográfico: seja em uma simples ação para garantir que a política de segurança da companhia esteja sendo respeitada pelos usuários ou em uma investigação mais complexa. Brincadeiras à parte, passar o dia vasculhando arquivos pornográficos pode ser desagradável ou até mesmo costrangedor...






Para resolver esta questão, o Forensic Toolkit (FTK), fornecido pela AccessData, traz um recurso muito interessante chamado EID: Explicit Image Detection. Basicamente, este é um recurso que localiza, identifica e classifica todos os arquivos de imagens (GIF, JPG, PNG, etc..) das evidências do caso em um ranking que vai de 0 (não pornográfica) até 100 (pornografia explícita). Para detecção deste conteúdo, o FTK utiliza três profiles:





  • X-DFT: profile padrão, sempre selecionado, gera um ranking bem balanceado entre velocidade e acerto.

  • X-FST: profile para varredura mais rápida. É utilizado também para gerar ranking de pastas de arquivos, baseado no número de arquivos desta pasta que alcance um score alto no ranking de pornografia. Foi desenvolvido com uma tecnologia diferente do X-DFT, para permitir uma resposta rápida em um grande volume de imagens. Devido à agilidade do algorítimo, pode mesmo ser utilizado em aplicaçõe que exigem análise em tempo real das imagens.

  • X-ZFN: profile para varredura que gera o menor número de falsos negativos, recomenda-se utilizar este profile para uma segunda análise (Additional Analysis), apenas para as pastas de arquivos identificadas como pornográficas pelo X-DFT.

Gerei uma biblioteca com algumas imagens "inocentes" e outras imagens pornográficas para analisar o comportamento da ferramenta. Para facilitar a visualização dos resultados, todas as imagens eróticas/pornográficas foram armazenadas em um diretório "have fund pics".

Neste diretório é possível perceber que o X-FST não acusou apenas uma das oito imagens potencialmente suspeitas, o que deixou o diretório com um ranking bem elevado:





Dentro deste diretório, criei outro diretório, desta vez com quatorze itens, conforme print abaixo. Novamente, apenas uma pequena parcela (três imagens) foram "ignoradas" pela ferramenta, mantendo um nível de acerto muito satisfatório:






O teste que eu fiz contou também com outras imagens, em outros diretórios, com conteúdo "inocente". Os resultados foram os seguintes:

  • De 160 imagens não pornográficas, o sistema acusou 21 falsos positivos

  • De 23 imagens pornográficas, o sistema acusou 4 falsos negativos (sendo que duas são imagens em b&w)

Resultado final: de 183 imagens utilizadas para o teste, o sistema me indicou 40 (19 realmente pornográficas e 21 falsos positivos) imagens para serem analisadas, ou seja, aproximadamente 22% da amostra!

Veja uma demonstração deste recurso no vídeo abaixo:





Paul Henry escreveu um texto muito bom sobre o EID no blog da SANS, analisando um conjunto de 60.000 (!!!) imagens. Vale a pena a leitura!


* Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/