RSS

Bem Vindo!

Computação Forense tem como objetivo determinar a dinâmica, a materialidade e a autoria de ilícitos na área da informática (Pedro Monteiro da Silva Eleutério e Marcio Pereira Machado, em Desvendando a Computação Forense, 2011).
Nesse humilde blog pretendemos apresentar a evolução dos nossos estudos a respeito da computação forense.
Aproveitando esse post, gostaria de convidar a todos para comentar e corrigir possíveis e inevitáveis erros ao longos do blog.
 
1 comentário

Publicado por em 2011-11-24 em Forense

 

Tags: ,

South Korean Banks, Media Companies Targeted by Destructive Malware | Blog Central

 

 

A massive computer shutdown of two South Korean banks and media companies occurred Wednesday via an Internet malware attack.

Fonte: South Korean Banks, Media Companies Targeted by Destructive Malware | Blog Central.

 

 
Deixe um comentário

Publicado por em 2013-03-31 em Notícias

 

Tags: , ,

Coreia do Sul é alvo de suposto ciberataque da Coreia do Norte – Notícias – UOL Notícias

Os sistemas de informática das principais emissoras de televisão e de dois dos maiores bancos da Coreia do Sul ficaram completamente paralisados nesta quarta-feira (20). O governo sul-coreano investiga a possibilidade de ter sido um ciberataque da Coreia do Norte…

Fonte: Coreia do Sul é alvo de suposto ciberataque da Coreia do Norte – Notícias – UOL Notícias.

 
Deixe um comentário

Publicado por em 2013-03-21 em Notícias

 

Tags: ,

45ª Edição – Thiago Bordini e Alvaro Rios | Stay Safe Podcast

Esse ano o podcast Stay Safe está de volta!

45ª Edição – Thiago Bordini e Alvaro Rios | Stay Safe Podcast.

 
Deixe um comentário

Publicado por em 2013-01-08 em Eventos, Notícias, podcast

 

Bloqueio de Escrita para Duplicação de Evidência

Sabe-se que devido à tentativa de se tornar mais “humanizado”, os sistemas operacionais mais recentes realizam operações automáticas para a montagem de dispositivos. Quando conectamos um pendrive, por exemplo, a um computador com sistema operacional Windows ou Linux com interfaces amigáveis (Ubuntu por exemplo), o sistema operacional apresenta recursos que facilitam a vida do usuário realizando a montagem do dispositivo para facilitar e agilizar as operações do dia a dia do usuário. Sabe-se também que ao fazer isso o sistema operacional pode (na maioria das vezes o faz) alterar o conteúdo do dispositovo conectado como, por exemplo, o sistema operacional Windows que ao detectar que um dispositivo foi conectado pode alterar seu conteúdo criando uma pasta para manutenção de arquivos recicláveis. Fato esse que, para perícia digital, irá comprometer a evidência podendo acarretar na perda do material a ser analisado.

Linux

Como dito anteriormente, nas distribuições Linux mais recentes que apresentam interface gráfica, o sistema operacional apresenta recursos que possibilitam a montagem automática de dispositivos conectados ao computador. Para que possamos evitar que qualquer operação de escrita seja feita sob a evidência, deve-se garantir, em nível de kernel, que não seja possível realizar operações de escrita no dispositivo. A forma de se verificar isso é diferenciada de distribuição para distribuição. Para este caso, tratamos da distro do BackTrack 5 R2 baseada no GNOME.

Verificando/Alterando Montagem Automática de Dispositivos

No GNOME existe uma forma de verificar a configuração de montagem automática através da ferramenta “gconftool-2”.

  • :~# gconftool-2 –get /apps/nautilus/preferences/media_automount

image

O parâmetro “–get” recupera o valor do flag da chave “media_automount” – seu retorno seria “true” (configurado para montagem automática) e “false” (configurado para montagem não automática).

Devemos então determinar que os dispositivos não mais sejam montados automaticamente, alterando o valor dessa chave.

  • :~# gconftool-2 –set –type=bool /apps/nautilus/preferences/media_automount true

image

O parâmetro “–set” irá alterar o valor da chave “media_automount” para o valor informado (no caso “true”). Já o parâmetro “–type” representa o tipo de dado que irá ser armazenado na chave “media_automount” (neste caso “bool” – booleano).

Após a alteração, consulta-se novamente o valor do flag da chave “media_automount” através do primeiro comando com “get”. Confirma-se então que agora a montagem automática do dispositivo está desabilitada, portanto, se um dispositivo com sistema de arquivo conhecido e possível de ser interpretado pelo sistema operacional não mais será montado automaticamente.

image

Porém, ainda não está garantida a proteção de escrita no dispositivo, somente garantimos que ele não será montado automaticamente pelo sistema, caso possa ser montado.

Como o dispositivo não será montado automaticamente, podemos agora conectá-lo ao sistema.

Proteção de Escrita – Nível de Kernel

A proteção no nível de Kernel evita que qualquer outro processo, seja no nível do usuário seja no próprio nível do kernel, possa realizar operações de escrita sob o dispositivo.

A forma como a proteção de escrita será feita utilizando um software presente em praticamente todas as distribuições Linux, o “hdparm” que tem por finalidade analisar dispositivos de disco rígido e configurá-los, ativando ou desativando recursos.

Ao analisarmos o “–help” do “hdparm”, temos a opção “-r”. Essa opção, como descrita no próprio help, get/set device readonly flag (Dangerous to set), possibilita, a nível de kernel, o bloqueio de escrita ao dispositivo em questão.

Observa-se através do comando “ls” que o disposivito (no caso um pendrive) está presente em “/dev/sdb

image

Sendo assim, o “hdparm” deverá ser executado para bloquear escrita sob o dispositivo “/dev/sdb

image

O parâmetro “-r1” ativa o atributo somente leitura para o dispositivo não permitindo escrita no dispositivo. Ao utilizarmos o “*” ao final do dispositivo dizemos ao “hdparm” para que o mesmo bloqueie todas as partições do dispositivo.

Se necessário restaurar o estado de permissão de escrita, basta utilizar o “hdparm” com o parâmetro em “-r0”.

image

Windows

[ em breve ]

Fontes

 
 

Tags: , , , , , , , , , ,

Sistemas de Arquivos

Introdução

Antes de entrar na teoria do File System (FS) é importante saber alguns aspectos do Hard Disk (HD).

O HD é formado por varias bandejas circulares (discos) que giram num eixo. Cada face da bandeja (ou disco) são divididos em círculos concêntricos chamados de cilindros, trilhas ou pistas. Cada trilha possui um determinado número de setores.

HDD Hard Drive Disk (opened)

Para sabermos qual o número total de setores de um disco rígido, basta multiplicarmos sua geometria, ou seja, o seu número de cilindros, lados (parâmetro também chamado de “cabeças”) e setores por trilha. Um disco rígido que possua a geometria 2448 cilindros, 16 cabeças e 63 setores por trilha, terá 2448 x 16 x 63 = 2.467.584 setores. Multiplicando-se o número total de setores por 512 bytes, teremos sua capacidade total, no caso 1.263.403.008 bytes.Carlos E. Morimoto

Esses cilindros são dividos em setores de 512 Bytes cada. Essa é a unidade ou elemento que o HD trabalha.

O setor 0 é conhecido como Master Boot Record (MBR) o fim do MBR possui uma tabela de partições do disco (início e fim de cada partição).

Partição

Partição a grosso modo é uma divisão de espaço no HD. Num disco comum podemos ter esses tipos de partições:

  • Primária: No máximo 4 partições primária, se existir quatro partições primárias nenhuma outra partição poderá existir;
  • Estendida: É um tipo especial de partição primária, só uma por disco e não pode conter arquivos só partições lógicas; e
  • Lógica: ficam dentro das estendidas, podendo haver no máximo 12 partições em um disco.

O disco pode ter varias partições respeitando os limetes acima e cada partição pode ter qualquer FS.

A partição que o OS está carregado é chamada de partição ativa. No boot a BIOS lê e executa a MBR achando a partição ativa e lendo-a executando o 1º bloco da partição (Bloco de boot), por default todas as partições com ou sem OS possuem um bloco de boot.

mbr

File System

O sistema de arquivo ou File System – FS nada mais é do que um organizador (estrutura, identificação, acesso, utilização, proteção e implementação) de dados do Sistema Operacional ou Operating System – OS. Existem diversos FS e cada um trabalha de um jeito para organizar os dados no disco e em geral quanto mais recente é o OS maior é a gama de FS suportados.

Exemplos de FS:

  • CD-ROM  File System (CDFS);
  • Network File System (NFS); e
  • New Technology File System (NTFS).

Blocos (unidade de subsídio) ou \emph{clusters} é a menor unidade que o OS capaz de gerir. O cluster é formado por um ou mais setores, sendo que quanto maior o cluster menos entidades o OS manipula.

Referêcias

 

Tags: , , , , , ,

Opinião: Flame é fichinha perto do estado atual da cibersegurança

Você se assustou com o Flame? Roger Grimes, colunista da InfoWorld, diz que vírus é menor dos males diante das ameaças contra empresas e usuários comuns.

Leia mais…

Fonte: IDGNow! [url] http://idgnow.uol.com.br/internet/2012/06/13/opiniao-flame-e-fichinha-perto-do-estado-atual-da-ciberseguranca visitado em 13/06/2012 07:50 AM (UTC –03:00)

 
Deixe um comentário

Publicado por em 2012-06-13 em Forense, Notícias

 

Tags: , , , , , ,

Vírus Flame é capaz de se apagar da máquina infectada

Criadores enviam ordens para que sistemas comprometidos removam todos os indícios do ataque, para evitar futuras análises forenses.

Leia mais…

Fonte: IDGNow [site] http://idgnow.uol.com.br/internet/2012/06/08/virus-flame-e-capaz-de-se-apagar-da-maquina-infectada/

 
Deixe um comentário

Publicado por em 2012-06-11 em Forense, Notícias

 

Tags: ,