quinta-feira, 22 de setembro de 2011

Forense de Registro Windows

Por Sandro Süffert*

Há dois meses divulguei um material (109 pag.) sobre Forense de Memória, tanto no blog da Techbiz Forense Digital quanto no blog SSegurança. Como o feedback foi muito positivo, resolvi também publicar por aqui o material que preparei sobre Forense de Registro Windows (83 pag.).

VEJA A APRESENTAÇÃO


Livros: 

I - Windows Forensic Analysis v2, Harlan Carvey Capítulo 3 – Windows Memory Analysis, Capítulo
4– Registry Analysis

II - EnCE – The Official Encase Certified Examiner Study Guide, 2ndEdition, Steve Bunting Capítulos 3 – First Response e 9 – Windows Operating System Artifacts e 10 – Advanced Windows - Registry

III - Malware Forensics – Investigating and Analyzing Malicious Code, James Aquilina, - Eoghan Casey, Cameron Malin Capítulos 3 – Memory Forensics: Analyzing Physical and Process Memory Dumps e 9 – Analysis of a Suspect Program

IV – Microsoft Windows Registry Guide, 2nd Edition

V - "Registry Forensics" de Harlan Carvey <= :http://www.amazon.com/Windows-Registry-Forensics-Advanced-Forensic/dp/1597495808

Papers / Documentações: 

“Inside the Registry” Windows NT Magazine – Mark Russinovich
http://technet.microsoft.com/en-us/library/cc750583.aspx

Windows 7 UserAssist Registry Keys - Didier Stevens: Into The Box Magazine. http://intotheboxes.wordpress.com/2010/04/05/into-the-boxes-issue-0x1/

Guide To Profiling USB Device Thumbdrives and Drive Enclosure on Win7, Vista, and XP http://blogs.sans.org/computer-forensics/files/2009/09/USBKEY-Guide.pdf http://blogs.sans.org/computer-forensics/files/2009/09/USB_Drive_Enclosure-Guide.pdf

RegRipper Documentation -http://regripper.net/RR/Documents/Documents.zip - Registry Reference Deleted Apps ACMRU Windows Forensic Analysis -RegRipper version 2.02 Cheat Sheet

AccessData Registry Viewer Documentationhttp://www.accessdata.com/supplemental.html Registry Quick Find Chart Registry Offset UserAssist Registry Key

Forensic Analysis of the Windows Registry in Memory - Brendan Dolan-Gavitt: http://www.dfrws.org/2008/proceedings/p26-dolan-gavitt.pdf

Recovering Deleted Data From the Windows Registry - Timothy Morgan: http://www.dfrws.org/2008/proceedings/p33-morgan.pdf

Forensic Analysis of Unnalocated Space in Windows Registry Hive Files – Jolantha Thomasen (University of Liverpool) http://www.sentinelchicken.com/data/JolantaThomassenDISSERTATION.pdf

Ferramentas:

1) Virtual Machines: 

1.0) VMWare Workstation, Server ou Player:http://www.vmware.com
1.1) VM SIFT Workstation 2.0: https://computer-forensics2.sans.org/community/siftkit/

2) Ferramentas Free/GPL:

2.1 - FTKImager -http://www.accessdata.com/downloads.html#FTKImager
2.2 - Process Monitor - Sysinternals -http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx 2.3 – Reg Ripper (+ RegSlack, + RegScan, +RipXp) -http://regripper.net/?page_id=150
2.4 – Registry Viewer - AccessData:http://www.accessdata.com/downloads.html#ForensicProducts 2.5 – Registry Summary Report Files - AccessData:http://www.accessdata.com/downloads/rsrfiles/AllRSRFiles.zip
2.6 – RegExtract (GUI/CLI) – WoanWare:http://www.woanware.co.uk/downloads/
2.7 – RegShot - http://sourceforge.net/projects/regshot/files/
2.8 – RegLookup -http://projects.sentinelchicken.org/reglookup/download/
2.9 – USBDeview -http://www.nirsoft.net/utils/usb_devices_view.html
2.10 – USBDeviceForensics -http://www.woanware.co.uk/usbdeviceforensics/
2.11 – UserAssist -http://blog.didierstevens.com/programs/userassist/
2.12 – FGET – https://www.hbgary.com/community/free-tools/
2.13 – TimeLord -http://computerforensics.parsonage.co.uk/timelord/timelord.htm
2.14 – MiTec Windows Registry Recovery –http://www.mitec.cz/wrr.html

3) Ferramentas Comerciais: 

3.1 – AccessData FTK 3.1 + Registry Viewer –http://www.accessdata.com
3.2 – Encase Forensics 6.17 – http://www.guidancesoftware.com UserAssist Decoder V3.3 Enscript -https://support.guidancesoftware.com/forum/downloads.php?do=file&id=832 (requer acesso ao suporte da Guidance) Registry Examiner Enpack -https://support.guidancesoftware.com/forum/downloads.php?do=file&id=752 (requer acesso ao suporte da Guidance)


* Sandro Süffert é CTO (Chief Technology Officer) da Techbiz Forense Digital, consultor em computação forense e professor convidado pela Universidade de Brasília, departamento de Engenharia Elétrica, do curso de pós-graduação em Computação Forense. Desde 2006 é membro da HTCIA (High Technology Crime Investigation Association) e é autor do blog de segurança http://blog.suffert.com. É profissional certificado em ACE (AccessData Certified Examiner); ACIA (ArcSight Certified Integrator/Administrator); ACSA (ArcSight Certified System Analyst); EnCE (Encase Certified Examiner), entre outras.

quinta-feira, 15 de setembro de 2011

A hora da ciberinteligência

Por Roberta Maia*

Relatório da InSA alerta sobre a importância de enxergar o problema da cibersegurança como um todo e não mais em partes para reduzir conflitos cibernéticos, roubos, sabotagens e espionagem 


O National Security Alliance’s (InSA) Cyber Council, organização norte-americana de inteligência e segurança, acaba de publicar o primeiro de vários relatórios destinados a ampliar a visão dos tomadores de decisão da indústria e do governo sobre a importância do desenvolvimento de uma “inteligência cibernética”. O intuito é discutir porque é necessário investir na chamada “cyber intelligence” e incitar reflexões sobre como garantir uma visao estratégica sobre as ameaças do mundo virtual. Depois de uma análise minuciosa do contexto cibernético (vale a pena ler o relatório), a InSA chega a algumas conclusões.

A primeira delas é sobre a importância de um trabalho coletivo, que envolva a parceria publico-privada e o ambiente acadêmico. O relatório diz: “é preciso formar uma comunidade de ciberinteligência: governo, provedores de internet e de telecomunicações, CERTs, e outras entidades formais de segurança da informação, além de companhias e vendedores especializados.” Essas entidades sociais estão intrinsicamente relacionadas quando se trata da arena cibernética e por isso precisam adotar soluções coletivas para que elas possam ser efetivas. E a InSA exemplifica: ataques em infraestrutura crítica de uma nação, como eletricidade, podem afetar hospitais, serviços de emergência e outras vítimas não intencionais.

Espaço complexo 

Essa visão holística do problema também deve direcionar a análise e a investigação dos crimes digitais. “O ambiente cibernético, acoplado com a tecnologia, tem criado um novo e multidimensional espaço de ataque. Existe uma interconexão entre as camadas espacial, físico, lógica e a social, pelas quais o adversário se move impunemente. A complexidade desse espaço de ataque demanda dos investigadores uma compreensão das relações existentes entre essas camadas e uma capacidade de apontar a origem do perpetrador e sua intenção.” Os perfis dos adversários são variados. A idade é irrelevante e não existem limites geográficos ou motivos definidos.

A ameaça pode vir de um adolescente sem antecedentes criminais ou de grupos terroristas que usam a internet para conduzir as suas operações. Estados-Nações podem usar a internet para conduzir espionagem, roubo de propriedade intelectual, operações ofensivas, como interrompimento de linhas de comunicação ou dos meios de comunicação.


"Para que essa análise em conjunto seja efetiva, para que haja uma aproximação inteligente do problema, é preciso ter informações completas, acuradas, oportunas sobre as ameaças. Nesse sentido o relatório da InSA reforça, indiretamente, a importância do trabalho desenvolvido pela TechBiz Forense Digital."


As motivações também são variadas: simples curiosidade, interesses financeiros ou intelectual, desejo de prejudicar uma instituição ou estado. Os alvos podem ser indivíduos, instituições comerciais, infraestrutura e nações. E a InSA alerta: “Os atacantes estão migrando dos simples ataques por negação de serviço para outros mais complexos”, e refere-se ao Stuxnet.

Leis
As regulamentações nacionais e internacionais também devem caminhar em conjunto com as demandas das demais instituições sociais. Regras, protocolos, padrões e leis ainda são insuficientes e desconectados, para não dizer, conflitantes. E o relatório enfatiza a importância de desenvolver estratégias, políticas, doutrinas, leis e promover o engajamento global na discussão de caminhos que gerem mais estabilidade e segurança na arena cibernética. Fóruns e comissões internacionais são importantes para estudar a demanda da cyber intelligence e o valor adicionado da cibersegurança.

Para que essa análise em conjunto seja efetiva, para que haja uma aproximação inteligente do problema, é preciso ter informações completas, acuradas, oportunas sobre as ameaças. Nesse sentido o relatório da InSA reforça, indiretamente, a importância do trabalho desenvolvido pela TechBiz Forense Digital. A InSa afirma que é preciso:

  • Identificar continuamente vetores atuais e emergentes de ameaças. 
  • Identificar em profundidade as especificações técnicas de um ataque cibernético, incluindo questões da cadeia de suprimento, caminhos a serem explorados, natureza e características das infeções, fragilidades dos sistemas/produtos, efeitos e planos antecipados ou atividades em andamento. 
  • Ter controle da situação, identificar que tipo de atividade está ocorrendo ou já ocorreu nas redes, ter consicência dos danos nas áreas e garantir o desenvolvimento e aprimoramento das defesas. 
Os apontamentos do INSA’s Cyber Council ajudam a lidar com um problema cuja gravidade pode ser melhor sentida com os numeros envolvendo os ciberataques, mesmo que essas avaliações ainda sejam pouco acuradas.  As estimativas variam de pesquisa para pesquisa.

“Kshetri (2010) estimou em um estudo do FBI/McAfee custos anuais de US$ 400 bilhões gerados pelo cibercrime aos Estados Unidos. Anderson (2010) estima que o potencial de perdas em um ataque cibernético bem-sucedido em uma infraestrutura de petróleo do Reino Unido está na ordem de centenas de bilhões de dólares.” Vale destacar outro dado do relatório: “o documento Federal Information Security Market 2010-2015 indica que a demanda por produtos e serviços de segurança da informaçãoo irá crescer de US$ 8,6 bilhões em 2010 para R$ 13,3 bilhões em 2015, com taxas anuais de crescimento de 9,1%.”

Para fazer jus à seção Ponto de Vista, colocamos na roda perguntas levantadas no relatório para que você opine e comente:

  • Será que a pressa em obter lucros nos mercados da Era da Informação está nos conduzindo para um abismo, fazendo-nos ignorar, subestimar ou restringir as verdades inconvenientes do mundo cibernético que garantem a segurança da informação?

  • Os nossos esforços de inovação estão tão centrados no mercado e em novas funcionalidades que não podemos, simultaneamente, inovar em algum nível (baixo, médio ou alto) de segurança da informação e garantir maior rigidez nos processos? 

  • A comunidade está suficientemente informada sobre as ameaças cibernéticas em larga escala? 
* Roberta Maia é assessora de comunicação do Grupo TechBiz. Formada em jornalismo pela PUC Minas, já trabalhou nos cadernos de tecnologia, veículos e cultura do jornal O Tempo. É especializada em Arte e Filosofia pelo curso de pós-graduação lato sensu da PUC Rio.