Evidencia Digital 04

Evidência Digital - 2

EEDDIITTOORRIIAALL

Editor Chefe Andrey R. Freitas Editor Técnico Andrey R. Freitas Colaboradores desta edição Andrey R. Freitas Jeimy J. Cano Laura C. M. Coelho Leonardo Cunha Mário C. P. Peixoto Paulo Barbosa Renato M. S. O. Blum Ricardo J. Bento Taysa E. Cardoso Artigos Se você deseja escrever artigos para a Revista Evidência Digital envie um e-mail para [email protected] Atendimento ao leitor E-mail: [email protected] Site http://www.guiatecnico.com.br/EvidenciaDigital

Grupo de discussão

http://br.groups.yahoo.com/group/PericiaForense

A revista Evidência Digital é uma publicação trimestral. O conteúdo dos artigos é de responsabilidade dos autores.

Amigos, Nesta edição continuamos a falar sobre Esteganografia, mas desta vez sobre comparaç ões entre as ferramentas existentes no mercado, um ótimo artigo que vale a pena conferir. Um outro artigo interessante é sobre o vocabulário dos peritos, por exemplo, você sabe me dizer o que é cadeia de custódia ? ou, análise ao vivo ? Agora você vai saber. Relacionei também nesta edição alguns eventos e cursos sobre Perícia Forense e Segurança da Informação, como a V Jornada Nacional de Seguridad Infomática, que será realizado na Colômbia. Agora imagine que o seu computador foi invadido, você sabe exatamente onde procurar provas ? Nesta edição trouxemos algumas dicas pra você. Gostaria de agradecer a todos os colaboradores que enviaram seus artigos para a conclusão desta quarta edição e aos participantes do grupo Perícia Forense Aplicada à Informática. Estou ao seu dispor para ouvir seus comentários e sugestões ! Boa leitura a todos ! Andrey Rodrigues de Freitas Editor da Revista Evidência Digital


RREEVVIISSTTAA EEVVIIDDÊÊNNCCIIAA DDIIGGIITTAALL

Edição 01

Edição 02

Edição 03

http

://ww

w.g

uiatecn

ico.co

m.b

r/Evid

enciaD

igital

Edição 04


Renato M. S. Opice Blum e Taysa Elias Cardoso

PPoollííttiiccaass ddee SSeegguurraannççaa,, PPrriivvaacciiddaaddee ee ooss TTrriibbuunnaaiiss

Em um passado não muito remoto, as informações das organizações eram armazenadas apenas em papel e o patrimônio era mensurado pelos seus bens materiais. Hoje esse cenário mudou, as informações são armazenadas em meio eletrônico e o conjunto desses dados é o grande patrimônio das empresas. As redes de computadores, em especial a Internet, que conecta milhões de computadores ao redor do mundo, permitem os inegáveis benefícios decorrentes do avanço tecnológico. Em contrapartida, há que se considerar os requisitos de segurança que estabelecerão os critérios para bom uso e proteção das informações que trafegam nas redes. A expansão do uso e acesso da internet no local de trabalho traz questões que outrora não eram suscitadas, colocando em discussão direitos personalíssimos, impondo modificações de grande impacto nas relações de trabalho. Nesse contexto, ganha relevo a questão atinente à validade da prova obtida por meio do monitoramento de e-mails pelo empregador, para fins de rescisão de contrato de trabalho por exemplo. No Brasil, há controvérsias acerca do monitoramento de correios eletrônicos pelo empregador, excetuando-se os casos de prévia ciência do empregado e de ordem judicial. A ciência do usuário, entretanto, não se restringe a mero ato pro forma, é imprescindível que a implementação das políticas de segurança sejam efetivamente incorporadas à cultura da organização. Há respaldo legal para a adoção dessas medidas por parte da empresa, cabendo destacar, dentre elas, que se a estrutura que suporta o acesso e uso da internet é de propriedade da empresa, que disponibiliza aos seus funcionários, é dela a responsabilidade pelos atos dos usuários, conforme dispõe o artigo 932, inciso III, do Código Civil, em sua novel redação. O poder diretivo do empregador, previsto na Consolidação das Leis do Trabalho, também possibilita a prática do monitoramento pelas empresas. Há consenso, entretanto, acerca da imprescindibilidade da ciência ao empregado, que pode ser formalizada no contrato individual de trabalho ou em documento autônomo. Esse consenso é salutar, na medida em que descaracteriza eventual expectativa de privacidade (art. 5º, X, Constituição Federal). Em geral é instituído por meio da política de segurança adotada pela empresa, ocasião em que são

formalizados os aspectos considerados relevantes e estabelecidos os critérios para proteção, controle e monitoramento dos recursos computacionais, garantindo, conseqüentemente, a segurança das informações manipuladas pelos usuários. A garantia aos direitos à individualidade, à personalidade, à liberdade ou à privacidade, não obstante serem constitucionalmente assegurados, não pode ser interpretada de forma absoluta, implicando no desrespeito a outras garantias igualmente relevantes.

Sob este prisma, podemos então constatar o quão delicada é esta questão, que demanda atuação preventiva das empresas, por meio de regulamento de segurança, tendo como foco a tendência mundial, que caminha rumo à conciliação dos direitos fundamentais dos empregados com os direitos de propriedade e direção do empregador. :: Renato M. S. Opice Blum :: [email protected] :: Advogado e economista; Professor da FGV, PUC, IBTA/IBMEC, ITA/CTA (convidado) e outras; Árbitro da FGV, da Câmara de Mediação e Arbitragem de São Paulo (FIESP) e do Tribunal Arbitral do Comércio; Presidente do Conselho de Comércio Eletrônico da Federação do Comércio/SP; Fundador e ex-Presidente do Comitê de Direito da Tecnologia da Câmara Americana de Comércio (AMCHAM).

:: Taysa Elias Cardoso :: Advogada; Advocacia consultiva e contenciosa, na área cível, com ênfase Direito Eletrônico, tanto na área preventiva quanto no contencioso, envolvendo Tecnologia da Informação, Comércio Eletrônico, Crimes em Meio Eletrônico; Professora da Faculdade de Direito Damásio E. de Jesus, Professora do IPEC - Instituto Paulista de Ensino e Cultura.



Andrey R. Freitas

TTeerrmmiinnoollooggiiaa PPeerriicciiaall

• Mídia de provas O suporte original (disco rígido) que precisa ser investigado, seja o sistema de um suspeito ou a vítima de um ataque.

• Mídia de destino

O suporte no qual a mídia de provas é duplicada. Em outras palavras, a imagem pericial de uma unidade de provas é transferida à mídia de destino.

• Imagem restaurada

Cópia da imagem pericial devolvida a sua forma original, inicializável.

• Sistema operacional nativo Sistema operacional usado quando a mídia de provas (ou a duplicação pericial) é inicializada para análise.

• Análise ao vivo

A análise feita quanto estão se tomando medidas de investigação (pesquisando ou acessando arquivos, examinando logs, etc.) com a mídia de provas em funcionamento.

• Análise off-line Análise feita quando se examina a mídia de provas ou a duplicação pericial em um disquete de inicialização controlada ou outro sistema. A mídia de provas e a imagem restaurada não são o suporte primário usado durante o processo de inicialização.

• Cadeia de custódia O Perito deve se preocupar em registrar quem teve acesso as provas. A maneira mais simples é manter uma lista detalhada dos indivíduos que tiveram algum material apreendido sob seu poder, desde a apreensão até a devolução. Entre as informações relevantes que merecem ser anotadas estão a data e a hora da ação, a quem a pertencia o material ou quem forneceu, local da apreensão, descrição completa do material, de quem as provas foram recebidas (com data), a quem foram entregues

(com data) e outras informações peculiares ao caso. • Exame em local É o exame realizado em espaços físicos, tradicional na criminalística. Os vestígios que se destacam podem ser materiais de informática ou objetos correlacionados, a exemplo de cadernos de notas com senhas. Não devem ser desconsideradas as observações convencionais, como a descrição dos ambientes através de croquis,

uso de fotografias ou localização das áreas e quais pessoas as utilizam preferencialmente.

:: Andrey R. Freitas :: [email protected] :: É editor da Revista Evidência Digital e Moderador do grupo Perícia Forense Aplicada à Informática.


Paulo Barbosa

FFrraauuddeess OOnnLLiinnee

OOss aannttiiggooss ggoollppeess qquuee cciirrccuullaamm nnaa WWeebb ee ccaauussaamm ggrraannddeess pprreejjuuíízzooss

Na autobiografia “Prenda-me se for Capaz”, que inspirou Steven Spielberg a dirigir sua adaptação para as telas, são narradas as estórias de Frank Abagnale Jr., um dos maiores golpistas da história mundial e que, aos 16 anos e sem dispor de muitos recursos financeiros, iniciou sua trajetória forjando identidades e obtendo vantagens a partir delas. Para alcançar seus objetivos, uma das identidades assumidas foi a de piloto da Pan Am. Para tanto, forjou documentos, providenciou um uniforme de piloto e aprendeu os termos comumente utilizados pelos profissionais de aviação. Sem nunca ter pilotado uma aeronave ou freqüentado aulas preparatórias, Abagnale viajou pelo mundo de graça, usando os privilégios de passagens para pilotos, e realizou diversos golpes através desta identidade fictícia e de uma boa dose de engenharia social. Nesta e em diversas outras situações semelhantes podemos notar a presença de uma constante fundamental: a criação de um contexto de familiarização, criando um laço de confiança - tornando o personagem confiável, quase real. Tudo acontecia baseando-se na crença humana em estereótipos: o piloto vestindo seu uniforme e usando a linguagem que o caracteriza, o médico em seu jaleco, diploma na parede do consultório e dizendo os termos próprios dos profissionais da medicina. Não lhe parece convincente que pessoas com essas características sejam realmente quem dizem ser? Essa é a essência da fraude. As situações descritas no livro ocorreram na distante década de 60, porém os padrões de comportamento das pessoas se mantêm nos dias de hoje, onde realizar uma fraude tornou-se muito mais fácil. Basta enviar um e-mail. Para tanto, um dos meios é copiar alguns elementos gráficos da empresa a ser fraudada (geralmente encontra-se material suficiente no próprio site da empresa), reunir alguns termos utilizados por esta, estar atento a novas promoções e demais eventos e organizar isso em um site – um clone do original. Este geralmente é enviado por e-mail para milhares de pessoas, em um universo onde algumas dessas

realmente utilizam os serviços ou realizaram algum tipo de atividade através da empresa vitimada, gerando a sensação de legitimidade ao usuário. Com o contexto criado, o usuário é induzido a instalar um software em seu computador, sem imaginar que a sua real função é a de realizar a captura do que for digitado, possibilitando a obtenção senhas e outras informações. Em outros casos, mensagens convidando o usuário a participar de um negócio de milhões de dólares, solicitam enviar um adiantamento de milhares de dólares para o pagamento do envio do dinheiro. Muitas vezes o golpe é ainda mais simples, solicitando diretamente a senha deste usuário em um campo de identificação na própria mensagem de e-mail, etapa necessária para “completar a operação”. O roubo de contas bancárias por fraudes através de e-mail, prática conhecida como Phishing Scam, já foi responsável por prejuízos superiores a 100 milhões de reais. E em 2004 esse valor deve ser maior pelo que temos visto nesses primeiros meses. Para piorar o cenário, até o mês de maio de 2004 foram criados mais vírus de computador do que em todo o ano passado, elevando a possibilidade de computadores comprometidos. Hoje, existem no Brasil cerca de 10 milhões de pessoas que usam serviços financeiros via web e cerca de 2,5 milhões que fazem compras online, números que têm aumentado sensivelmente nos últimos anos. Este é o tamanho do risco a que estamos sujeitos.

Na verdade o meio digital não criou nenhum novo tipo de fraude, todas elas baseam-se nos conceitos já há muito tempo utilizados. É necessário que os usuários entendam como as fraudes acontecem, como a engenharia social é utilizada, e mudem seu comportamento ao usar a Internet. Entre os cuidados necessários, os seguintes pontos podem ser observados:

§ Grandes organizações nunca enviam mensagens

para seus clientes solicitando informações como senhas.


§ Não confie cegamente no conteúdo de um e-mail supostamente enviado por uma instituição. Verifique no próprio site da empresa ou use outros meios de contato para confirmação das informações.

§ Assim como o conteúdo do e-mail, não confie no

nome do emissor da mensagem. Ele é facilmente forjado, além de ser uma das técnicas mais utilizadas pelos golpistas para dar credibilidade à fraude.

§ Digite o endereço do site em seu navegador, não

clique em links prontos que chegam em mensagens de correio eletrônico. Existem técnicas para mascarar o real destino de um link, podendo direcioná-lo para um site clonado.

§ Não abra exceções. Assim como há profissionais

trabalhando na segurança das empresas, há pessoas desenvolvendo técnicas cada vez mais apuradas de persuasão e burla. Qualquer detalhe pode revelar uma possível fraude.

O sistema bancário brasileiro é um modelo para o mundo. O Sistema de Pagamentos Brasileiro, que agilizou a liquidez do sistema bancário no país é um case fenomenal de integração entre empresas poucas vezes visto. Os bancos, de forma geral, investem pesado em segurança da informação e disponibilizam cada vez mais recursos para seus clientes, tais como senhas adicionais e teclados virtuais.

Por outro lado, as tecnologias de certificação digital existem há aproximadamente duas décadas, mas seu uso permanece inadequado. Sua utilização poderia prover um nível mais elevado de proteção na comunicação com seus clientes através da Internet, reduzindo os problemas relacionados a comprometimento de senhas e invasão de sistemas. A expectativa é que em um futuro muito próximo certificados digitais assinados pela ICP-Brasil serão distribuídos pelos bancos aos seus clientes. Mas até que as expectativas se cumpram, as soluções devem ser baseadas na conscientização dos clientes. Seja como for, crimes cometidos pela Internet continuarão acontecendo, independentes das proteções que estão sendo utilizadas e desenvolvidas. O ser humano e sua falta de cuidados, ainda continuarão sendo o elo mais fraco da corrente de segurança. Se as ações não compreenderem todos os elementos deste cenário, golpes como os de Frank Abagnale continuarão a acontecer, mas agora na velocidade de um e-mail. :: Paulo Barbosa :: [email protected] :: É certificado como CISSP e ISSMP. Atuou nos últimos anos como Sr. Information Security Consultant e atualmente é sócio do The Prime Consulting Group.

Conferência 2005

29 e 30 de Março

Programação: • Anti-Forensics – Real world identification, analysis and prevention • A Formal and Effective Methodology to Deal with Slack Space Analysis over Several Hard Disks • The Registry – A central repository of evidence • Handling a virus-spreading criminal case – the legal issues • Legal Analysis of a case of cross-border cyber-crime • Computer Forensic laboratory management system. Practical way for standards and best practices

implementation • Psychological Profiling and Computer Forensics: Loucard's Principle in the Digital World • Towards a Better Understanding of Internet Crimes • On demand remote forensics for corporate environments • Real-World Compromised Systems Forensics Saiba mais sobre a programação em: http://ecce.n-gate.net/abs.html

http://www.ecce-conference.com



Jeimy J. Cano

IInnsseegguurriiddaadd IInnffoorrmmááttiiccaa:: UUnn CCoonncceeppttoo DDuuaall eenn SSeegguurriiddaadd IInnffoorrmmááttiiccaa

Resumen Este documento desarrolla una breve reflexión donde sugiere al lector repensar la seguridad informática como un continuo entre técnicas de hacking y análisis de riesgos, que permita a las organizaciones aprender de sus fallas de seguridad y fortalecer sus esquemas de seguridad, no para contar con mayores niveles de seguridad, sino para evidenciar el nivel de dificultad que deben asumir los intrusos para ingresar a los sistemas. Introducción Al terminar un año e iniciar el siguiente, generalmente se presentan los resultados de la gestión del que concluye y se establecen los pronósticos sobre el venidero. El tema de seguridad informática no es ajeno a esta dinámica del mundo, es quizá uno de los tópicos donde los especialistas en el área buscan afanosamente establecer líneas de acción sobre características especiales de los acontecimientos que pasaron y podrán ser influyentes en el futuro. Revisando algunos de los pronósticos para el 2004 en el tema de seguridad [GREGORY, P. 2003, SAVAGE, M. 2003] encontramos que temas como: el SPAM, los firewalls personales, los dispositivos de almacenamiento USB, organizaciones criminales en internet, las crecientes regulaciones en el ámbito tecnológico, entre otros, serán elementos importantes donde muchos cambios y actividades tomarán lugar y generarán eventos que impactarán las organizaciones y la operación de las mismas. Observando las reflexiones sobre las predicciones y concentrándonos en la estructura de pensamiento plasmada en las mismas, es frecuente observar que estos pronósticos muchas veces responden a eventos que en el pasado han ocurrido y se manifiestan como posibles tendencias, reflejando un pensamiento lineal que sugiere continuidad y avance, pero algunas veces negación de los temas en sí mismos. Es decir, las predicciones responden a causas y efectos que pueden ser establecidos y revisados. Sin causas no habría efectos, lo que se conoce en el pensamiento filosófico como dualismo.

Figura 1. Dualismo de la Seguridad Informática El dualismo, ha sido factor clave para el desarrollo de muchos conceptos que hoy en día son fundamentales para el avance de la tecnología y la seguridad informática, pero no es la única estrategia para abordar los fenómenos de nuestra realidad. En la perspectiva del dualismo un sistema es seguro o inseguro, lo que implica reconocer y profundizar en un lado de la línea de pensamiento. Es decir, o aplicamos técnicas de seguridad informática para reducir los riesgos e implementar controles, ó vemos como podemos saber que tantas vulnerabilidades tenemos que nos hacen inseguros, para tomar medidas correctivas. En este sentido, presentamos la estrategia de la dualidad, como una manera complementaria de explorar los hechos mismos en el mundo, para reconocer las causas y los efectos en su contexto, sin negar la posibilidad de considerar que uno surge a partir del otro, es decir, reconocer que la seguridad informática surge a partir de considerar la inseguridad informática y viceversa; un continuo de aprendizaje que muchas veces no corresponde a una causa específica sino a la relaciones existentes entre los componentes objeto del análisis. (ver figura 2) Con estas ideas planteadas se desarrolla este breve documento donde revisamos el concepto de inseguridad informática desde una perspectiva dual como una manera complementaria de comprender los elementos, relaciones y efectos de la seguridad informática en el contexto de una realidad cambiante y dinámica. Los planteamientos sugeridos en este artículo responden a reflexiones recogidas de la experiencia de la industria al tratar de enfrentar la variabilidad de los escenarios y sus vulnerabilidades y, las ideas de la academia para profundizar en eventos predecibles e inesperados de la dinámica entre la tecnología, la organización y los individuos.

InseguridadInformática

Modelo de Hacking

SeguridadInformática

Modelo de Riesgos y Controles


Modelo de Hacking




La dualidad de la Inseguridad Informática En múltiples investigaciones realizadas se considera el tema de la seguridad informática como una disciplina del conocimiento donde se busca cerrar la brecha de los eventos inesperados que puedan comprometer los activos de una organización y así contar con estrategias para avanzar ante cualquier eventualidad. Consideremos ahora el estudio de la inseguridad informática, como una disciplina dual donde los académicos y practicantes de la industria buscan las maneras detalladas para que ocurran eventos inesperados, establecer las condiciones extremas de funcionamiento de los dispositivos o estrategias, todo con el fin de hacer caminar en condiciones límite la operación de la organización y sus negocios. La estrategia dual sugiere contextualizar en un escenario real la incertidumbre inherente de la seguridad informática para revisar entre otros aspectos: [SCHNEIER 2003, pag. 51]

• ¿Cómo funciona el sistema? • ¿Cómo no funciona el sistema? • ¿Cómo reacciona ante una falla? • ¿Cómo hacerlo fallar?

Por tanto, la inseguridad informática como disciplina dual en el estudio de la seguridad informática, establece un paradigma complementario (es decir dual a la seguridad informática) que comprende las propiedades emergentes de los sistemas (analizados) bajo condiciones y realidades extremas, las cuales no son viables en una estrategia de protección causal (dualismo) sugerida por la seguridad informática actual. En este sentido, se quiere plantear la necesidad de revisar nuestra manera de abordar el tema de la protección de los activos de una organización, no solamente establecer las causas y los efectos, sino comprender las relaciones entre los objetos revisados y considerar las reacciones mismas entre estas que pueden sugerir efectos no predecibles en los modelos causales. Es decir conociendo que tan inseguros somos, podemos comprender que tan seguros podríamos llegar a ser. Cuando se plantean las condiciones de análisis de la seguridad y las pruebas de los elementos de los sistemas se consideran, entre otros, algunos elementos comunes como son: [WHITTAKER 2003, pag. 3]

• Se requiere que el equipo de pruebas trabaje sobre la descripción del comportamiento del producto o sistema,

• Se requiere que el producto o sistema sea

ejecutado en un ambiente real o simulado, • Se requiere que la funcionalidad del producto o

sistema sea explorada de una manera metódica y que los resultados de las pruebas bien sean positivos o negativos, puedan ser analizados en contexto y así ofrecer un concepto formal del mismo;

en este contexto, las relaciones causales deben ser determinadas y concretadas de tal manera que sea posible detallar y sustentar los posibles estados exhibidos por el sistema al ser sometido a las pruebas de comportamiento sugeridas dentro del dominio de la definición del producto mismo. Esta estrategia si bien aporta elementos detallados sobre el sistema y su funcionamiento futuro, nos ofrece pocas luces sobre comportamientos inesperados y condiciones extremas de operación, dado que no se abre la posibilidad a una lógica de la inseguridad informática como reflexión dual del ejercicio. Al revisar la inseguridad informática como estrategia de pensamiento estratégico reconocemos que un sistema es tan seguro como su falla de seguridad más reciente, que cuando ocurre o se manifiesta un problema de seguridad las personas se vuelven mas experimentadas y saben que hacer, que los sistemas mal diseñados (pensamiento natural en seguridad informática) no están preparados para fallar (pensamiento dual en inseguridad informática). En pocas palabras, comprender la inseguridad informática del sistema en evaluación para hacer el sistema dinámico y flexible ante nuevos ataques, atacantes o fallas de seguridad. [SCHNEIER 2003, Cap.9] La inseguridad informática como pensamiento dual en seguridad informática descubre que las relaciones entre los elementos del sistema son capaces de producir efectos positivos y negativos, los cuales son capaces de comprometer su supervivencia. En este sentido, comprender la inseguridad informática como el dual de la seguridad informática, en el contexto organizacional, representada esta última en sus participantes, sus procesos y tecnología [CANO 2004], nos permite revisar las propiedades emergentes de la seguridad informática en un escenario con múltiples variables, repensar la seguridad misma mas allá de una directriz de la corporación, como una mente pensante que aprende y evoluciona en su hacer. Explorando la dualidad de la Seguridad: La mente segura El concepto de la organización como una mente pensante y actuante, con un pensamiento complementario (dual) nos sugiere que la seguridad informática, como una distinción mas de la organización, representa una dinámica de acción que podríamos recrear considerando los elementos de la mente segura sugeridos por Day. Para Day [DAY 2003, pág.5] una mente segura consiste en la revisión y práctica de virtudes y reglas de seguridad1 con el fin de tomar decisiones claras, consistentes y efectivas. Complementario a esta propuesta, la existencia de la mente insegura, como realidad presente de la

1 Las virtudes de la seguridad son: La seguridad deber ser una

consideración diaria, la seguridad debe ser un esfuerzo comunitario, las prácticas de seguridad deben mantener un foco generalizado, las prácticas de seguridad deben incluir medidas de entrenamiento para todo el personal de la organización.

Las reglas de seguridad son: Regla del menor privilegio, Regla de los cambios, Regla de la confianza, Regla del eslabón más débil, Regla de separación, Regla de los tres procesos, Regla de la acción preventiva y Regla de la respuesta apropiada e inmediata


organización, es un punto de análisis adicional que se considera, no solo para dar sentido a la práctica de las virtudes y reglas de seguridad, sino para mantener la perspectiva de la incertidumbre inherente al proceso de la seguridad informática. La mente insegura como dual de la mente segura, puede sugerir elementos de análisis de situaciones extremas en las organizaciones que lleven no solamente a considerar las vulnerabilidades y riesgos de las información de los procesos de la empresa, sino repensar los procesos mismos para hacerlos mas confiables, en la medida que se consideren las diferentes perspectivas de la seguridad implícitas en cada uno de los participantes de los mismos. La mente insegura es una posibilidad de caminar y repensar el análisis de riesgos como un modelo de hacking [HORTON, M y MUGGE, C. 2003, pág.38] consistente de reconocimiento del sistema objetivo, manipulación y compromiso del objetivo, apalancamiento del ataque y conquista de nuevos objetivos. Figura 2. Concepto Dual de la Inseguridad Informática

En razón a lo anterior, la mente insegura, al igual que la inseguridad informática son parte de un mismo continuo que busca entender que la seguridad informática como necesidad organizacional, no es mas que el resultado de una propiedad emergente de un sistema que conoce sus condiciones extremas, su operación límite, así como sus recursos y posibilidades para darle sentido a la razón de su misión. Es decir, reconocer que los ataques y fallas de seguridad informática son una constante y por tanto, se requiere conocer y validar los niveles de siniestralidad o falla que la organización puede manejar en la operación de su negocio. Reflexiones Finales Mientras la seguridad informática es un concepto subjetivo [SCHNEIER, B. 2003, pág.23], es decir propio al sujeto, la inseguridad informática es objetiva, es decir propia al objeto. No es posible evitar la inseguridad informática pues es una propiedad inherente a los objetos. Por tal motivo, se hace necesario explorar en profundidad dicha propiedad, pues mientras mas se comprenda la realidad de la inseguridad, con mejores ojos podremos comprender la seguridad informática de las organizaciones. Considerar la inseguridad informática como parte del ejercicio de seguridad informática de las organizaciones, sugiere la capacidad de las organizaciones para cuestionarse sobre la situación real del balance entre seguridad, facilidad de uso y funcionalidad [COLE, E. 2002,pág. 23] no para lograr mayores niveles de confiabilidad y aseguramiento de sus arquitecturas, sino para evaluar el nivel de dificultad requerido por los atacantes para ingresar y vulnerar los

medios de protección. Con un pensamiento de este nivel, las organizaciones no buscarán solamente incrementar la confianza de sus clientes, sino comprender que la seguridad no es un problema de tecnología, sino un problema de riesgos y las diferentes maneras de comprenderlos y manejarlos: una mente segura. Mientras más se conoce la inseguridad informática más se comprenden las acciones y resultados de la seguridad en las organizaciones. En este sentido, la detección de posibles problemas de seguridad no generaría valor sin una adecuada respuesta. Una respuesta que reconozca la inseguridad informática como insumo y el ataque de seguridad como una variante a considerar en la protección de los activos. En consecuencia cuando somos capaces de reconocer y actuar en situaciones inesperadas, nuestra capacidad de análisis y control aumenta, pues nuevas perspectivas se abren a las relaciones que exhibe la inseguridad informática. Finalmente las palabras “impenetrable”, “invulnerable” o “seguro”, nos recuerdan que existen procesos, muchas veces ocultos a nuestro pensamiento, que pondrán a prueba la realidad de los sistemas y sus propiedades. La inseguridad informática es pues una estrategia de reflexión y acción para repensar la seguridad informática como una disciplina que es al mismo tiempo concepto y realidad. Referencias CANO, J. (2004) Hacia un concepto extendido de la mente segura. Pensamiento sistémico en seguridad informática. Artículo de investigación (En revisión). Universidad de los Andes COLE, E. (2002) Hackers beware. Defending your network from the wiley hacker. New Riders. DAY, K. (2003) Inside the security mind. Making the tough decisions. Prentice Hall. GREGORY, P. (2003) Security predictions for 2004. ComputerWorld. http://www.computerworld.com/printthis/2003/0,4814,88113,00.html. Diciembre. HORTON, M y MUGGE, C. (2003) Hacknotes. Network Security Portable Reference. McGraw Hill. SAVAGE, M. (2003) Time to act. New Challenges in 2004. Secure Computing Magazine. http://www.scmagazine.com/scmagazine/2003_12/cover/index.html. Diciembre. SCHNEIER, B. (2003) Beyond Fear. Thinking Sensibly about security in an uncertain world. Copernicus Books. WHITTAKER, J. (2003) How to break software. A practical guide to testing. Addison Wesley. :: Jeimy J. Cano, Ph.D :: [email protected] :: Investigador Independiente y Profesor de Cátedra de la Facultad de Derecho y del Departamento de Sistemas y Computación de la Universidad de los Andes, donde se adelanta investigaciones en los temas de Seguridad Informática, Computación Forense y Evidencia Digital. Coordinador Académico de las Jornada Nacional de Seguridad Informática – ACIS 2004. Mayor información: http://www.acis.org.co




Modelo de Hacking




Modelo de Hacking


Andrey R. Freitas

OObbsseerrvvaannddoo ttooddooss ooss PPrroocceessssooss eemm EExxeeccuuççããoo..

MMiiccrroossoofftt WWiinnddoowwss Um item muito importante na investigação é registrar todos os processos em execução atualmente no sistema. Você pode usar o utilitário pslist para enumerar todos os processos em execução no sistema. A figura 1 mostra um exemplo do pslist em execução. Pslist: http://www.sysinternals.com

Figura 1 Se o pslist revelar que o processo Eventvwr está sendo executado, isso sugere que alguém está observando as conexões. Se você ver Usrmgr, pode suspeitar que alguém está tentando mudar a diretiva de auditoria, acrescentar ou excluir uma conta de usuário ou ainda modificar dados de contas de usuários (senhas). Portanto, é preciso reconhecer os processos. Consulte a tabela 1 para obter uma lista de alguns processos.

PROCESSO DESCRIÇÃO SMSS O gerenciador de sessão que configura o ambiente NT durante o processo

de inicialização.

CSRSS Client-Server Runtime Server Subsystem (subsistema de servidor em tempo de execução cliente-servidor), usado para manter o ambiente do sistema Win32 e diversas outras funções vitais.

WINLOGON O serviço de logon do Windows. SERVICES Usado pelo NT/2000 para gerenciar serviços.

LSASS O Local Security Authority Security Service (serviço de segurança da autoridade de segurança local).

SPOOLSS O serviço de spool para o subsistema de impressão. RPCSS O subsistema de chamada de procedimento remoto.

anti2plab Uma parte do sistema do driver de vídeo.

explorer Responsável por criar o botão Start, objetos da área de trabalho e da barra de tarefas.

EVENTVWR O aplicativo Event Viewer. USRMGR O aplicativo User Manager.

MSDTC O Microsoft Distributed Transaction Coordinator (coordenador de transações distribuídas da Microsoft), que está configurado para iniciar automaticamente quando um sistema NT inicia.

Tabela 1



Mário C. P. Peixoto

OO FFaattoorr HHuummaammoo ccoommoo DDeessaaffiioo IImmiinneennttee ààss PPoollííttiiccaass ddee

SSeegguurraannççaa ddaa IInnffoorrmmaaççããoo ddeennttrroo ddaass EEmmpprreessaass

Resumo Inúmeros são os relatos provenientes às tentativas bem ou mal sucedidas de ataques a servidores, ou computadores pessoais. Dotados dos chamados “sistemas dificultantes de entrada indevida”, mais conhecidos como firewall, anti-virus, anti-spam, anti-worms; enfim todo o tipo de arquivo malicioso que venha a prejudicar a “saúde” do computador. Embora toda a atenção, ou pelo menos grande parte dela, esteja focada aos cuidados técnicos propriamente ditos, não adiantará se não estiver agregada à orientação de como manipular tais informações, também a conscientização do porque e de quanto cada funcionário em particular é importante no cumprimento responsável de seu papel dentro da Organização. Em especial quanto às informações que ali circulam dentro da empresa, mas sobretudo as informações específicas a função que se cumpre e é responsável.Em síntese os fatores relacionados a gestão da segurança da informação conjuntamente a algumas técnicas da engenharia social, serão abordadas.Utopias a parte, este artigo busca singelamente demonstrar que conseguir bons resultados até mesmo a curto prazo é possível.

Introdução

Visto que a maior complexidade em resolver os problemas de segurança inerentes às informações, não esta na tecnologia empregada pela empresa e sim naqueles funcionários que nela trabalham, parte-se do princípio de que todos são responsáveis por todos. Ou seja, não é porque um determinado funcionário que trabalha no setor de limpeza, por exemplo, sabendo das condutas e práticas de segurança das informações, poderá deixar de chamar a atenção de outro funcionário que trabalha no setor de contabilidade, percebendo alguma falha. Vale ressaltar que a conscientização é literalmente “a alma do negócio” Principalmente em se tratando de informações sejam elas técnicas, táticas ou estratégicas. A maneira com que é entendida a informação perante os funcionários é tida como subjetiva. Essa mentalidade tem que ser mudada. Deve-se pensar como um todo. Independente de ser aquele ou outro funcionário de diferentes setores.

Como ao certo então moldar essa mentalidade a ponto de se chegar a uma conscientização quase que homogênea? Começando por exemplo com planos de divulgação interna na empresa, educando, conduzindo e habituando o funcionário a compreender a enorme importância dele naquele contexto. Metodologia

FIGURA A – Estrutura de Ataque Legenda: • OE – Organização – Empresa • ISE – Informações Sigilosas da Empresa (informações internas e confidenciais da empresa) • IGD – Informações Gerais Disponíveis (informações disponíveis na internet, livros, revistas, jornais, ou até mesmo no lixo) • Vítima Ativa (funcionários da empresa) • Vítima Superficial (parentes e/ou amigos da vítima ativa, ex-funcionários,serviços terceirizados, concorrentes).


FIGURA B – Dinâmica da entrega de informações Resultados Analisando a FIGURA A – Estrutura de Ataque, pode-se perceber que o engenheiro social estipula seus ataques para chegar ao foco principal, que é as informações confidenciais da empresa, passando sempre pelo elo mais fraco que é o fator humano; ou seja, a chamada vítima ativa (VA) ou vítima superficial (VS). Pode-se afirmar ainda que os ataques do engenheiro social ganhem mais força, ou conseguem atingir seus objetivos com mais eficiência, partindo-se do pressuposto de que a coleta primeiramente das informações a partir do fator externo, IGD + VS, leva a deduzir que será mais bem sucedida a chegada às informações sigilosas da empresa (ISE) como também mais convincente a persuadir a vítima ativa (VA),fazendo IGC+VS+VA, para então finalmente chegar a estas informações confidenciais. Porém o engenheiro social poderá optar por direcionar seu ataque diretamente à vítima ativa (VA), almejando logo em seguida as informações sigilosas da empresa (ISE).Sendo este método considerado mais válido para aquele engenheiro social com maior experiência.

Outro ponto a se destacar é a importância que a vítima superficial (VS) tem nesse papel das informações fornecidas. Dependendo da origem desta vítima como sobretudo a qualidade destas informações geradas ao engenheiro social, este contudo terá grandes possibilidades de já conseguir atingir seu objetivo. Assim como IGD + VS podem levar as informações confidenciais da empresa também IGD + VA, chegam ao objetivo final, mas com maiores dificuldades, devido uma maior resistência que a própria VA pode oferecer, levando-se em conta a falta de credibilidade e confiança transmitida que o engenheiro social deveria dispor. Isso devido a não passagem pela coleta de informações com a vítima superficial (VS). Enfim, a “fórmula” ideal para uma maior garantia do sucesso deste ataque será sem dúvida passar por todas as etapas que um engenheiro social tem como recursos, ou seja:

IGD + VS + VA ISE

Agora de acordo com o que é demonstrado na FIGURA B – Dinâmica da entrega de informações, no momento em que o engenheiro social faz o contato, interage ou comunica-se, surge então a chamada *Distância de resistência que existe com qualquer suposta vítima que o engenheiro social determina como alvo de seu ataque. Essa distância pode ser tanto maior ou menor (da vítima ao engenheiro social) dependendo do estudo que fora feito pelo próprio engenheiro social na busca de uma gama maior de informações, a tal ponto de fazer com que o contato com o alvo seja de certa forma bem familiarizada. Dando a impressão realmente de que o atacante (engenheiro social) conhece muito bem aquele ambiente tendo a total segurança do que esta falando, com quem quer falar e até onde chegar.

*Raio de conhecimento equivale ao conhecimento baseado nas políticas de segurança adotadas pela Empresa mais o conhecimento das técnicas utilizadas pelo engenheiro social. Ou seja, quanto maior for esse raio menor será a probabilidade de se entregar informações valiosas ao engenheiro social.

Conclusão

Imbuído dos poucos conceitos mencionados, mas de concretas análises metódicas como visto, percebera-se o quão frágeis e despreparadas estão a maioria das Organizações hoje. Sem dúvida a muitas “lacunas” a serem fechadas pelas empresas. Uma análise “TopDow” já identifica tais lacunas.Um diagnóstico mais minucioso identificará não mais simples lacunas e sim “extensos buracos “. É lamentável como ainda muitas empresas de pequeno, mas principalmente de médio e grande porte, levam em


conta que a implementação de determinadas ações e diretrizes sejam consideradas mais uma despesa, e não um investimento; diga-se de passagem, muito benéfico e relevante a evitar futuros agravantes aos ativos da empresa, consequentemente perda de capital. Contudo fica a lição de que com toda a evolução que se perpetue ainda ao longo de muitos e muitos anos, a “tecnologia mais tecnológica” será sempre submissa ao “humano mais humanístico”.

Referências Bibliográficas

01. MITNICK, KEVIN. O conhecimento que assusta.

InformationWeek Brasil, [São Paulo], 2003. Entrevista. Disponível em: <http://www.informationweek.com.br/iw70/mitnick/>. Acesso em: 27 fev. 2004.

02. MITNICK, Kevin D.; SIMON, William L. A arte de

enganar: ataques de hackers: controlando o fator humano na segurança da informação. São Paulo: Pearson Education, 2003.

03. SÊMOLA, Marcos. Gestão da segurança da

informação: uma visão executiva. Rio de Janeiro: Campus, 2003.

:: Mário C. P. Peixoto :: [email protected]

CCuurrssoo

SSyysstteemm FFoorreennssiiccss,, IInnvveessttiiggaattiioonn aanndd RReessppoonnssee

hhttttpp::////wwwwww..bbaattoorrii..ccoomm..bbrr//ttrreeiinnaammeennttooss//ccuurrss44ccoonn..aasspp


Laura C. M. Coelho e Ricardo J. Bento

CCoommppaarraaççõõeess eennttrree FFeerrrraammeennttaass ddee EEsstteeggaannooggrraaffiiaa

Resumo Há um vasto número de ferramentas disponíveis na internet para realizar esteganografia. A grande maioria delas é gratuita e extremamente fácil de ser utilizada. Os testes descritos neste artigo foram realizados com algumas ferramentas disponíveis e têm por fim evidenciar a grande diferença entre os principais recursos das ferramentas. Boa parte da informação foi obtida na própria documentação das ferramentas. Secret Space

Secret Space é uma ferramenta de esteganografia em textos, ou seja, o recipiente é um pedaço de texto.

Uma questão bastante importante é a inserção da data de criação do estego-objeto, que permite ao usuário ter controle do período em que o arquivo foi modificado, ou seja, se alguém não autorizado realizar alguma modificação no arquivo, o usuário irá perceber.

O texto que receberá a mensagem deve ter entre 1.000 e 25.000 caracteres, dependendo do tamanho da mensagem.

Observações:

• Para rodar o software, o arquivo Msvbvm60.dll deve estar instalado na pasta: Windows\System.

• Caracteres especiais utilizam mais espaço de armazenamento.

• Quando adicionada mensagem no estego-texto, não se deve editar o texto, pois pode corromper ou destruir a mensagem. Portanto, deve-se tomar cuidado com programas de e-mail ou processadores de texto que interferem no layout e espaçamento de textos.

• Depois de inserida e recuperada a mensagem, é possível apagá-la.

Nome Secret Space Licença Freeware Plataforma Windows 95/98/NT Meio Texto Criptografia Não realiza Pró Fornece a data e a hora de inserção da mensagem. Contra Não utiliza criptografia;

Gera muitos espaços entre as palavras. Estego-key Não utiliza Método Armazena mensagens, inserindo espaços em

branco em textos. Avaliação (ver Anexo I)

Tabela 1 – Teste: Secret Space Sams Big Play Maker

Sams Big Play Maker converte um texto arbitrário numa “peça teatral”. O programa tem uma lista de palavras e frases que substituem cada caractere inserido.

Nome Sams Big Play Maker Licença Freeware Plataforma Windows 95/98/NT Meio Texto Criptografia Não realiza Pró – Contra Não utiliza criptografia;

Dicionário limitado, facilitando a detecção de padrões na permutação de palavras.

Estego-key Não utiliza Método Converte um texto arbitrário numa “peça de

teatro”. Avaliação (ver Anexo I)

Tabela 2 – Teste: Sams Big Play Maker

S-Tools

A ferramenta S-tools permite realizar esteganografia em som e imagem. É possível esconder vários arquivos em um só e utilizar compressão, neste caso, cada arquivo é comprimido individualmente e armazenado juntamente com seus nomes. Se não for utilizada compressão, então somente o dado puro, juntamente com seus nomes são armazenados. Todo o dado embutido é criptografado utilizando uma passphrase que é inserida para gerar a estego-key (atualmente, MD5 é utilizado para o hash da frase em 128 pedaços distribuídos uniformemente). O S-Tools dissemina um número pseudo-randômico criptograficamente gerado a partir da


passphrase e utiliza a saída para escolher a posição do próximo bit do recipiente a ser utilizado. Por exemplo, se um arquivo de som tem 100 bits disponíveis para adicionar dado, e alguém adicionar 10 bits, então o S-Tools pode escolher bits entre 0 e 9 que poderiam facilmente ser detectado por um atacante. Em vez disso, ele escolhe os bits 63, 32, 89, 2, 53, 21, 35, 44, 99, 80, ou outros dez, isso depende da passphrase que for inserida, o que torna o trabalho mais difícil para o inimigo.

Observações:

• Características avançadas de imagens GIF (transparência ou animação) são perdidas quando utilizado o S-Tools.

Nome S-Tools 4.0 Licença Freeware Plataforma Windows 95/98/NT e Unix Meio Som/Imagem (WAV/BMP e GIF) Criptografia Utiliza – IDEA, DES, 3DES e MDC Pró Várias opções de criptografia;

Utiliza mais de um método de esteganografia; Esconde dados em qualquer formato de arquivo; Pouca perda de qualidade de imagem e de som; Permite manipulação da imagem; Fácil utilização; Interface amigável.

Contra Não limita o tamanho mínimo da estego-key; Estego-key Utiliza Método Dissemina um número pseudo-randômico

criptograficamente gerado a partir da passphrase e utiliza a saída para escolher a posição do próximo bit do recipiente a ser utilizado.

Avaliação (ver Anexo I)

Tabela 3 – Teste: S-Tools

Samplers de sons são, por natureza, estimativas incertas do valor da onda de som em um certo momento no tempo. As amostras de som em arquivos WAV do Windows são armazenadas em 8 ou 16 bits que, eventualmente, passam pelo conversor DA (digital/analógico) na placa de som. Para as amostras de 8 bits, significa que os valores podem ser de 0 e 255. As amostras de 16 bits recebem valores entre 0 e 65535.

Figura 1 – Comparação de Samplers – S-TOOLS

Sample de som recipiente (em cima) e Sample de Estego-objeto (em baixo)

O que o S-Tools faz é distribuir o bit-pattern que corresponde ao arquivo que será embutido pelos últimos bits significativos da amostra de som.

Por exemplo, suponha que uma amostra de som tem os seguintes sete bytes de informação em algum lugar no seu conteúdo:

132 134 137 141 121 101 74

Em binário é o equivalente a:

10000100 10000110 10001001 10001101 01111001 01100101 01001010

Obs.: Os últimos bits significativos de cada byte estão mostrados em vermelho.

Suponha que seja necessário esconder o código binário 1101010 na seqüência acima. Simplesmente troca-se os últimos bits significativos de cada byte da amostra pelo bit correspondente do byte que está sendo inserido. Então a seqüência acima ficará assim:

133 135 136 141 120 101 74

Em binário:

10000101 10000111 10001000 10001101 01111000 01100101 01001010

É notável que alguns valores foram trocados. Esta troca permite que o som pareça inalterado ao ouvido humano e, além disso, a mensagem de 7-bits foi escondida com sucesso.


Todas as imagens digitais são compostas de um array (cadeia) de pontos, chamados pixels. Cada um desses pixels tem sua própria cor, representada por valores distintos de vermelho, verde e azul. Dentro do Windows, cada um destes níveis de cores pode alcançar valores entre 0 (nenhuma cor) e 255 (todas as cores). Um pixel com um valor RGB (Red Green e Blue) de 0 0 0 é equivalente a cor preta e, um com valor 255 255 255 é branco.

Figura 2 – Comparação de Imagens – S-TOOLS

Imagem recipiente (em cima) e Estego-imagem (em baixo) S-Tools trabalha com “espalhamento” do bit-pattern do arquivo que será escondido em cima dos últimos bits significativos dos níveis de cores na imagem. Para imagens 24 bits é simples, pois elas são armazenadas internamente com o triplo de RGB, e tudo o que é necessário fazer é espalhar os bits e salvar o novo arquivo. A desvantagem é que imagens de 24 bits são muito largas, pois possuem 3 bytes para cada pixel (para uma imagem de 640x480 é equivalente a 640x480x3=921600 bytes). Em imagens no padrão 256 cores é consideravelmente mais difícil se esconder algo. Devido ao fato de que a imagem já pode ter mais de 200 cores, cada modificação irá levar ao máximo absoluto de 256. Imagens com 32 cores ou menos nunca excederão 256 cores, não importa o quanto ela seja modificada. Por exemplo, os 3 últimos bits significativos de um RGB triplo com 3-bits. É possível modificar os dígitos binários de 000 até 111 para um dos oito valores possíveis. Se uma cor se “expandir” para mais de 8 cores, pode-se ter 256/8=32 cores distintas sem risco de exceder o limite máximo de 256 cores. É possível que o arquivo não modifique uma cor para uma de suas oito possíveis combinações e mantenha mais de uma das cores originais. O S-Tools tenta reduzir o número de cores da imagem com intuito de preservar ao máximo possível a qualidade da imagem, sendo muito difícil notar as

diferenças entre uma imagem de 256 cores escaneada para uma de 32. Hide4PGP Hide4PGP é um programa de linha de comando. Foi feito para ser utilizado com o software PGP (Pretty Good Privacy) de Phil Zimmermann. O autor se baseou no programa White Noise Storm e no Steganos v1.4. Ambos programas fazem um bom trabalho quando tratados true color bitmaps . Imagens em escala de cinza, às vezes, têm problemas, e BMPs com paleta de 256 cores, geralmente, têm drásticas mudanças. O motivo é que pixels em bitmaps de 8 bits não armazenam cores, mas sim índices a uma tabela de cores. Modificar os últimos bits significativos com dados quantitativos reais faz a diferença de 1 na faixa de 255, menos que 0,4%; 2 bits significam 3 em 255 ou 1,2% - ainda muito difícil de reconhecer. Modificar 1 bit com entradas na paleta significa uma cor diferente, provavelmente oposta. Imagens em escala cinza também têm uma paleta, esta contém cores em escala cinza em ordem estritamente ascendente de brilho, fazendo com que os índices da paleta se assemelhem a valores reais de cinza, mas algumas vezes a paleta também é arbitrariamente misturada.

A primeira versão do Hide4PGP supera tais circunstâncias realizando um rearranjo dos pares de cores similares da paleta e duplicando cores freqüentes para posições não utilizadas da paleta. Em meados de 1999, Luke Natraj e Philip Tellis apresentaram o programa 'Spyder'. Este programa trabalha somente em bitmaps paletizados, e notavelmente ele fez isso melhor que Hide4PGP. A idéia foi assimilar os bits de informação às paletas de cores e, então, codificar cada pixel deixando-o inalterado ou modificando para a cor mais similar. O autor fez isso porque os padrões de cores não precisam ser mutuamente exclusivos, o que permite escolher a melhor combinação de cores. Com permissão de Luke Natraj, o algoritmo foi integrado ao Hide4PGP, combinando-se com o mesmo. O resultado é uma melhora, feita através de mudanças na paleta de cores para desfazer parcialmente a mudança de cores dos pixeis – aqui o Hide4PGP utiliza cálculos diferentes do Spyder. Com o novo algoritmo para bitmaps paletizados, a preservação da ordem na paleta não é necessária. O que faz com que o Hide4PGP permita utilizar a maioria dos formatos.

O Hide4PGP suporta imagens sem compressão com 256 ou 16.7 milhões de cores, WAV com 8, 12 os 16 bits sem compressão, mono ou estéreo e arquivos VOC de 8-bits. O Hide4PGP trabalha somente nos dados reais, deixando os espaços inutilizados intocáveis. Isto permite que o arquivo seja convertido em outro formato de imagem ou som e permitir que o dado oculto permaneça intacto. O Hide4PGP distribui o dado secreto uniformemente em todo o arquivo multimídia. É possível utilizar mais que um bit por pixel, os limites para cada tipo de arquivo são:

• BMP SVGA paletizado – 1 bit; • BMP em escala de cinza – 2 bits;


• BMP true color – 6-bits por pixel (2-bits por canal); • VOC 8-bit; • WAV 1-bit; e • WAV 12 or 16-bit – 4 bit por sample.

Estes limites deveriam garantir que nenhuma mudança no conteúdo dos arquivos fosse evidente a uma pessoa normal.

Bitmaps de 256 cores sempre têm somente cem ou menos cores. As entradas na paleta remanescentes não são utilizadas, mas ficam presentes. Hide4PGP pode utilizar algumas entradas como cores parceiras para as que não têm nenhuma. Para este propósito, a cor em questão é copiada para a entrada não utilizada, resultando em duas entradas “quase” idênticas; “quase” porque as cores parceiras sempre diferem, pelo menos no último bit significativo do canal. Programas gráficos ou conversores que rearranjam a paleta irão respeitar a pequena diferença, mas programas de scanning podem procurar por entradas quase idênticas.

Nome Hide4PGP 2.0 Licença Freeware – Opensource Plataforma DOS, OS/2 e Linux Meio Arquivos BMP de 8 ou 24 bit,

WAV (mono) de 8, 12 ou 16 bits, VOC de 8 bits

Criptografia Não realiza. Pró Fácil utilização. Contra A versão 2.0 não realiza a recuperação de

esteganografia realizada em versões anteriores do software. Trabalha apenas com a versão 2.0 do PGP (não disponível para download). Criptografia é possível quando o software for utilizado com a versão 2.0 do PGP.

Estego-key Não utiliza. Método Esconde qualquer formato de arquivo dentro de

arquivos BMP, WAV ou VOC. Avaliação (ver Anexo I)

Tabela 4 – Teste: Hide4PGP

MP3Stego Há um interesse crescente na internet em arquivos de MP3 porque oferecem uma qualidade bem próxima à de um CD em relação à compressão de 1 para 11 (em um arquivo de 128 kilobits por segundo). Isto fornece uma ótima oportunidade de esconder informações. MP3Stego esconde informações em arquivos MP3 durante o processo da compressão. Os dados são primeiramente criptografados, embutidos num arquivo WAV e depois comprimidos no formato MP3. Qualquer oponente que descomprimir o bit stream e recomprimi-lo, apagará a informação escondida – na verdade este é ainda o único ataque conhecido.

Exemplo de utilização:

encode -E hidden_text.txt -P pass exemplo.wav exemplo_stego.mp3

O comando acima comprime exemplo.wav (mono, 44.1 kHz, codificado em 16bit) e esconde hidden_text.txt. O

texto escondido é criptografado usando a palavra “pass” como senha. Isto produz um resultado chamado exemplo_stego.mp3.

decode -X -P pass exemplo_stego.mp3

Descomprime exemplo_stego.mp3 em exemplo_stego.mp3.pcm e tenta extrair a informação escondida. A mensagem escondida é decodificada, descomprimida e salva no formato exemplo_stego.mp3.txt.

Nome MP3Stego Licença Freeware Plataforma Windows 95/98/NT e Unix Meio Áudio Criptografia Utiliza AES e SHA -1 Pró Por fazer compressão dentro de arquivos mp3,

dificulta a comparação com o original (wav). Contra Não limita o tamanho da estego-key;

Não oculta a estego-key no momento da digitação; Os recipientes devem ter formato específico: riff, pcm, wav, 44.100Hz 16 bits mono.

Estego-key Utiliza Método Os dados são comprimidos primeiramente junto

com o arquivo RIFF, PCM ou WAV daí então criptografados e escondidos no arquivo MP3.

Avaliação (ver Anexo I)

Tabela 5 – Teste : S-Tools

Ezstego Ezstego é um software baseado em plataforma MAC mas escrito em plataforma independente em linguagem Java, sendo capaz de manipular imagens GIF, embutindo arquivos de texto utilizando o método de substituição dos últimos bits significativos da imagem.

O Ezstego não disponibiliza meios de se tratar a imagem nem o método de esteganografia, além de não utilizar criptografia, o que limita a segurança e a eficácia do método.

Nome EzStego Licença Freeware Plataforma Qualquer plataforma que suporte Java. Meio Imagem (GIF) Criptografia Não utiliza Pró Fácil utilização;

Interface amigável. Oferece ferramenta de busca de arquivos GIF na WEB.

Contra Não utiliza meios de manipulação da imagem. Estego-key Não utiliza Método Embutir arquivos texto imagens GIF Avaliação (ver Anexo I)

Tabela 6 – Teste: EzStego

STELLA

O Stella é um freeware desenvolvido em Java, capaz de esconder dados em diferentes arquivos de imagem.

Com o Stella é possível embutir e extrair uma mensagem com diferentes técnicas esteganográficas. Para esteganoanálises, esta aplicação tem incluídas diferentes ferramentas que detectam uma mensagem


oculta ou uma assinatura, usando ataques do tipo chosen message e chosen/known cover. Adicionalmente, possui ferramentas que efetuam a comparação da imagem original com a esteganografada, além de oferecer informações estatísticas da imagem onde a mesma será escondida e do texto.

Ocultação:

• Inclui o codec do EzStego (para análise e extração nas técnicas que o utilizem);

• Inclui o codec do próprio STELLA; • Suporta imagens gif/bmp/jpg; • Esconde qualquer tipo de informação arbitrária; • Protege a mensagem embutida usando chave

privada; • Possível manipular o processo de ocultação,

priorizando: qualidade, capacidade ou robustez.

Extração:

• Extrai mensagens ocultadas com EzStego; • Extrai mensagens ocultadas com STELLA; • Mostra a mensagem extraída como texto ou puro

ascii;

Ferramentas:

• Mostra a paleta de cores para imagens em formato gif (recipiente e estego-objeto);

• Mostra a diferença da figura entre a imagem recipiente e a estego-imagem;

• Mostra o histograma dos principais componentes; • Mostra a distorção medida entre a imagem original e

a estego-imagem; • Dá informações básicas da imagem original.

Extras:

• Mostra dois arquivos diferentes para comparação; • Conta os 0´s e 1´s num arquivo arbitrário; • Inclui detector de limites da imagem.

Figura 3 – Comparação de Imagens – STELLA

Comparação entre uma imagem recipiente (esquerda) e estego-imagem (direita).

Nome STELLA 1.0 Licença Freeware Plataforma Qualquer plataforma que suporte Java Meio Imagem (GIF, JPEG e BMP) Criptografia Não utiliza Pró Utiliza mais de um tipo de imagem recipiente;

Esconde qualquer formato de arquivo, por exemplo: txt, dll, exe, zip. Permite comparação e manipulação da imagem de forma que se pode escolher entre qualidade, robustez ou quantidade de dados; Fácil utilização; Interface amigável.

Contra Não limita o tamanho mínimo da estego-key; Estego-key Utiliza Método Embutir e extrair mensagens em arquivos de

imagem GIF, JPEG e BMP. Avaliação (ver Anexo I)

Tabela 7 – Teste: STELLA WbStego4

WbStego4 é uma aplicação de 32 bits para Windows. Permite esconder qualquer tipo de arquivo dentro dos seguintes recipientes:

• Windows bitmaps com 16, 256 or 16.7 milhões de cores;

• Arquivos de textos ASCII ou ANSI; • Arquivos HTMLs; e • Arquivos PDFs.

Esta ferramenta utiliza substituição dos últimos bits significativos. Dependendo do tipo de recipiente, algumas recomendações devem ser seguidas:

Arquivos Bitmaps

O critério mais importante é a profundidade da cor (quantidade de pixels que definem o valor uma cor). Bitmaps com as seguintes cores são aceitas:

• 4 bit = 16 cores (ou 16 escala de cinza) • 8 bit = 256 cores (ou 256 escala de cinza) • 24 bit = 16.777.216 cores

Bitmaps com grandes áreas de somente uma cor devem ser evitadas. Dependendo da profundidade da cor dos bitmaps pode ser possível armazenar a seguinte quantidade de dados ocultos:

• 4 bit = 16 cores: 4 : 1 • 8 bit = 256 cores: 8 : 1 • 24 bit = 16 777 216 cores: 8 : 1

NOTE: os bitmaps utilizados no WbStego4 não podem ser convertidos para outros formatos, pois o dado oculto pode ser perdido. Formatos que oferecem compressão lossless, (por exemplo PCX) podem ser utilizados, mas a profundidade da cor pode ser modificada. Formatos utilizando outros métodos de compressão não devem ser utilizados, por exemplo, JPEG. Para reduzir o tamanho do recipiente, o desenvolvedor aconselha utilizar mecanismos de compactação do tipo Arj, Zip, entre outros, pois eles trabalham com técnicas lossless de compressão. Caso uma técnica do tipo lossy for


aplicada, usualmente, os últimos bits significativos são perdidos, portanto toda informação embutida é destruída.

Arquivos de Texto

WbStego4 permite processar textos tanto ASCII (DOS) como ANSI (Windows). O software oferece dois métodos diferentes para codificar dados em arquivos de textos:

Standard Method: o tamanho do arquivo permanece não modificado. Quando o recipiente é visualizado em processadores de textos, podem aparecer caracteres especiais.

Compatible Method: o tamanho do arquivo aumenta. Não existem mudanças visíveis quando manipulados arquivos recipientes em outras aplicações.

A capacidade dos arquivos de texto para esconder informação depende muito do conteúdo do arquivo.

Arquivos HTML

Arquivos HTML são tratados como arquivos de texto, e neles é utilizado o Compatible Method. Não é possível visualmente, nem pelo código html perceber se existem dados ocultos.

Arquivos PDF

Não existem limitações quando utilizados arquivos PDFs. A manipulação destes arquivos não é visível quando utilizado qualquer PDF viewer. Porém, em alguns testes, a saída é um arquivo corrompido. Na tentativa de extrair os dados ocultos deste, também não foi obtido sucesso, pois a saída não foi apresentada legivelmente.

A ocultação de dados em arquivos PDF aumenta o tamanho do arquivo.

Não existem regras gerais da capacidade de um arquivo PDF.

Criptografia

A versão registrada do WbStego4 criptografa o dado embutido utilizando os seguintes algoritmos:

• Blowfish; • Twofish; e • CAST and Rijndael (AES)

Nome WbStego 4.1 Licença Shareware. Plataforma Windows 95/98/NT Meio Html, Pdf, txt Criptografia Blowfish;

Twofish; e CAST and Rijndael (AES).

Pró Interface amigável. Contra Não limita o tamanho da estego-key;

A ocultação em pdf raramente é realizada com sucesso.

Estego-key Utiliza Método Substituição dos últimos bits

significativos. Avaliação (ver Anexo I)

Tabela 8 – Teste: WbStego4

Hide and Seek

O Hide and Seek, foi desenvolvido para plataforma DOS, porém, na versão atual, 5.0, já possui interface gráfica, além de outras funcionalidades. O meio utilizado é a imagem, por meio de arquivos GIF é possível ocultar arquivos texto e utilizar ou não uma passphrase, a qual utiliza criptografia IDEA, o que dificulta o trabalho do esteganoanalista que estiver munido da imagem esteganografada.

Nome Hide and Seek 5.0 Licença Freeware Plataforma DOS Meio Imagem GIF Criptografia Não utiliza Pró Esconde qualquer formato de arquivo,

por exemplo: txt, dll, exe, zip; Fácil utilização; Não oferece manipulação das imagens.

Contra Não limita o tamanho mínimo da estego-key;

Estego-key Utiliza Método Embutir arquivos de vários formatos

numa imagem GIF Avaliação (ver Anexo I)

Tabela 09 – Teste: Hide and Seek Mandelsteg e Gifextract

Estes dois programas permitem esconder dados confidenciais em imagens gif, aumentando o nível de segurança comparado ao envio de e-mails criptografados por PGP na internet. O Mandelsteg irá criar uma imagem Mandelbrot (dessa forma será facilmente modificado para produzir outros fractais), armazenar seus dados em bits específicos da imagem, depois o GifExtract pode ser usado para extrair os dados da imagem.

O Mandelsteg não tem a intenção de substituir o uso de criptografia; em um mundo ideal nós todos poderíamos enviar e-mails criptografados abertamente ou arquivos, sem medo das represálias, porém há casos freqüentes em que isto não é possível, tampouco porque o governo local não aprova uma comunicação criptografada, ou talvez porque se esteja trabalhando para uma companhia que não permita o envio de e-mails criptografados.


Mandelsteg – Criptografia Mandelbrot MandelSteg tem várias modalidades de operação, dependendo do nível da segurança que se deseja. Sem nenhuma linha de comando as opções especificadas gerarão simplesmente um GIF 640x480. Com opção -c calculará quantos bytes podem ser armazenados na imagem e com -e fará o exame dos dados armazenados e os esconderá na imagem, e com a opção -r fará com que a ocultação seja feita em bits aleatórios.

Para um nível mais baixo de segurança, os dados serão armazenados simplesmente no bit especificado de cada pixel, e uma paleta de 128 cores criada tal como os pixels são vistos, mesmo se não houver dados armazenados nele. Isto será suficiente para sobrevi ver a uma análise comum, mas será óbvio a qualquer especialista nas artes de esteganografia, pois, substituindo a paleta fornecida para a imagem por outra, serão exibidos, na parte superior, os bits de dados escondidos nas áreas de cor contínua.

Para resolver este problema, deve-se especificar o flag -ns, que armazenará somente dados nas áreas de cor não contínua (note que isto pode diminuir extremamente a quantidade de dados que se pode armazenar na imagem). Uma outra indicação de uma imagem esteganografada é a paleta de 128 cores duplicada, que pode ser substituída por uma paleta de 256 cores com o flag -fp. Obviamente, se se especifica o -fp e não se especifica o -ns, será produzida uma imagem esteganografada aparente.

Finalmente, pode-se especificar o bit que armazenará os dados usando -b seguido pelo número de bits, se não o programa opta pelo bit sete. O bit sete dá melhor desempenho, mas o bit zero da maior segurança. Pode-se, também, especificar que um número de bytes na imagem podem ser perdidos antes dos dados serem criptografados com a opção -bp, seguido pelo número dos bytes perdidos. Se a opção -r é especificada, os dados aleatórios serão colocados então nestes bytes, e adicionados também aos dados de entrada para encher completamente o bitplane especificado.

Nome Madelsteg e Gifextract Licença Freeware Plataforma Unix Meio Imagem GIF Criptografia Somente se acoplado ao PGP Pró Permite manipulação do método de

esteganografia, dificultando a esteganoanálise, pois não existe padrão.

Contra Não utiliza estego-key e só utiliza criptografia acoplado ao PGP

Estego-key Não Utiliza Método Esteganografa dados em imagens GIF Avaliação (ver Anexo I)

Tabela 10 – Teste: Madelsteg e Gifextract

JPHIDE e JPSEEK

JPHIDE e JPSEEK são programas que permitem esconder arquivos em uma imagem JPEG. Existem várias versões de programas similares disponíveis na internet. Dada uma imagem, uma taxa de inserção baixa

(abaixo de 5%) e sem o arquivo original, não é possível concluir com certeza que o arquivo recipiente contém dado inserido. Como a percentagem de inserção aumenta a natureza estatística de coeficientes jpeg diferentes do “normal” para um grau que aumenta a suspeita. Acima de 15%, os efeitos começam a ficar visíveis a olho nu. É claro que algumas imagens são muito melhores que outras, é melhor quando se utiliza um arquivo recipiente com muitos detalhes. Um céu azul sem nuvem sobre uma montanha coberta de neve é uma imagem ruim, já uma queda d’água em uma floresta é provavelmente ideal.

Nome JPHIDE e JPSEEK – versão Beta Licença Freeware Plataforma Plataforma DOS, Windows e Linux. Meio Imagem jpeg Criptografia Não utiliza Pró Interface amigável

Fácil utilização Contra Tamanho mínimo da estego-key não é limitado Estego-key Utiliza Método Esteganografa dados em imagens jpeg Avaliação (ver Anexo I)

Tabela 11 – Teste: JPHIDE e JPSEEK

Camouflage

Apesar de ser um projeto que foi descontinuado, o Camouflage é uma ferramenta muito fácil de ser utilizada. Ao ser instalada, ela cria menus para que, ao clicar em algum arquivo com o botão direito no Explorer do Windows, seja possível realizar o processo de ocultação de dados.

Esta ferramenta permite esconder dados em qualquer tipo de arquivo, contudo não é recomendada a utilização de aquivos txts como recipientes, pois ao abrir os arquivos de texto em um editor, a parte do arquivo criptografada pela ferramenta é exibida no meio do arquivo texto, tornando visível que aquele arquivo de texto possui dados escondidos.

Outra recomendação é ter cuidado ao transferir estego-objetos via FTP, porque a maioria das transferências realizadas por meio deste protocolo faz a conversão dos arquivos para ASCII, o que certamente irá corromper a informação oculta. Para transferir os dados via FTP é necessário selecionar o tipo Binário para transferência.

Nome Camouflage 1.2.1 Licença Freeware Plataforma Windows Meio Qualquer arquivo Criptografia Método não informado. Pró Fácil utilização;

A data de criação do arquivo esteganografado permanece a mesma do recipiente.

Contra Não limita o tamanho da estegokey Estego-key Utiliza Método Tamanho mínimo da estego-key não é limitado Avaliação (ver Anexo I)

Tabela 12 – Teste: Camouflage


ANEXOS ANEXO I – Métricas de avaliação

Os parâmetros utilizados para a avaliação dos programas são descritos na tabela abaixo:

1 Utilização de criptografia na informação escondida. 2 Utilização de estego-key. 3 Quantidade de Sistemas Operacionais, onde é possível ser

instalado. 4 Oferece tratamento e/ou manipulação do meio onde será

realizada a ocultação da informação. 5 Quantidade de recipientes onde é possível realizar a ocultação

da informação. Tabela de referência para métricas de avaliação

Os programas avaliados que deixaram de cumprir com algum dos itens não receberam a estrela respectiva, já os que receberam meia estrela, cumprem parcialmente o requisito. Exemplo: no item que diz respeito a sistemas operacionais. Se o programa estiver disponível a apenas um sistema receberá meia estrela, de dois em diante receberá uma estrela. Da mesma forma ocorre com o quesito quantidades de recipientes, os que permitem apenas um tipo de recipiente, receberam meia estrela, já os que permitem mais de um tiveram direito a uma estrela cheia.

ANEXO II – Endereços na Internet para Download das Ferramentas Os endereços na Internet das ferramentas utilizadas estão listados na tabela abaixo. Estes e outros programas podem ser obtidos no seguinte endereço: http://www.jjtc.com/stegoarchive/stego/software.html

:: Laura C. M. Coelho :: [email protected] :: Analista de Segurança da Informação da CASSI – Caixa de Assistência aos funcionários do Banco do Brasil. Graduada em Processamento de Dados e pós-graduada em Segurança de Redes de Computadores.

:: Ricardo J. Bento :: [email protected]

FERRAMENTA ENDEREÇO Secret Space http://evidence-eliminators.co.uk/downloads/secret.zip Sams Big Play Maker http://www.scramdisk.clara.net/play/playmaker.zip S-Tools ftp://ftp.ntua.gr/pub/crypt/mirrors/idea.sec.dsi.unimi.it/code/s-tools4.zip Hide4PGP http://www.heinz-repp.onlinehome.de/Hide4PGP.htm

Interface Textual (Código Fonte em C): http://www.petitcolas.net/fabien/software/MP3Stego_1_1_16.zip MP3Stego Interface Gráfica: http://www.petitcolas.net/fabien/software/MP3Stego_GUI.zip

Ezstego Código Fonte - http://www.stego.com/Source.zip STELLA http://wwwicg.informatik.uni-rostock.de/~sanction/stella/software/StellaFull.zip S - WbStego4 http://www.8ung.at/wbailer/wbstego/dl_ix000.htm Hide and Seek http://www.rugeley.demon.co.uk/security/hdsk50.zip Mandelsteg e Gifextract

ftp://ftp.ntua.gr/pub/crypt/mirrors/idea.sec.dsi.unimi.it/cypherpunks/steganography/MandelSteg1.0.tar.gz Linux: ftp://ftp.gwdg.de/pub/linux/misc/ppdd/jphs-0.3.tgz

JPHIDE e JPSEEK Windows: ftp://ftp.gwdg.de/pub/linux/misc/ppdd/jphs_05.zip

Camouflage http://camouflage.unfiction.com/Camou121.exe



Jeimy J. Cano

VV JJoorrnnaaddaa NNaacciioonnaall ddee SSeegguurriiddaadd IInnffoorrmmááttiiccaa

Las JORNADAS NACIONALES DE SEGURIDAD INFORMÁTICA, como un escenario para desarrollar y promover la investigación académica y científica en el área de seguridad informática, invita a todos aquellos interesados en presentar trabajos de investigación realizados o casos de la industria sobre el tema, com el fin de compartir la experiencia, implementación y hallazgos en los temas propuestos para este evento expuestos a continuación (no pretende ser una lista exhaustiva):

• Modelos de Seguridad Informática

• Estándares de Seguridad Informática • Seguridad en dispositivos móviles e

inalámbricos

• Mecanismos de Autenticación y control • Políticas y estándares de seguridad

• Mejores prácticas de seguridad informática • Algoritmos de Encripción, VPN, PKI

• Contingencia y recuperación de desastres • Técnicas de Hacking y análisis de

vulnerabilidades

• Seguridad en el perímetro • Seguridad en Bases de Datos

• Seguridad en Sistemas Operacionales y redes • Computación forense y atención de incidentes

• Evidencia Digital y procedimientos asociados. • Análisis de riesgos de seguridad informática

• Consideraciones éticas y legales de la seguridad informática

• Dispositivos biométricos

• Seguridad en VoIP • Seguridad en Telecomunicaciones

Para esta quinta versión de la JORNADAS NACIONALES DE SEGURIDAD INFORMÁTICA, se cuenta con la participación de un comité de programa internacional conformado por profesionales especialistas en el área, quienes adelantarán la evaluación y análisis de los trabajos presentados en este evento:

Profesor Walter Baluja, M.Sc. Instituto Superior Politécnico Jose A. Echeverría CUBA

Experto en seguridad informáitca Bernardo Quintero, M.Sc Hispasec ESPAÑA

Profesor Jorge Ramio, Ph.D Universidad Politécnica de Madrid ESPAÑA Profesora Amparo Fúster, Ph.D Consejo Superior de Investigaciones Científicas ESPAÑA

Profesora Pino Caballero Gil, Ph.D Universidad de la Laguna ESPAÑA

Profesor Arturo Ribagorda Garnacho, Ph.D Universidad Carlos III de Madrid ESPAÑA

Profesor Juan Manuel Garcia, Ph.D Instituto Tecnológico de Morelia MEXICO Profesora Mirela Sechi Moretti Annoni Notare, Ph.D Barddal University BRASIL Profesor Juan Guillermo Lalinde, Ph.D Universidad EAFIT COLOMBIA Profesor Manuel Mora Tavarez, Ph.D Universidad Autónoma de Aguascalientes MEXICO


Profesor Aurora Sánchez, Ph.D Universidad Católica del Norte CHILE Profesora Angela Cristina Carrillo, Ph.D(c) Instituto de Informática y Matemática Aplicadas de Grenoble FRANCIA Profesor Jeimy J. Cano, Ph.D Coordinador Académico V JNSI COLOMBIA

Para la presentación de estos artículos (de investigación o de experiencia o implementaciones en la industria) se requiere seguirlos siguientes parámetros:

• 15 paginas máximo, sin incluir figuras y referencias.

• En página aparte: Incluir titulo, Nombre del proponente(s), Filiacion (Universidad/empresa), correo electrónico, teléfono o fax, dirección física - En primera página: Lo sugerido en formato de IEEE

• Transactions, exceptuando nombre de los autores y su filiación

• Tamaño de letra Times New Roman 12 puntos

• Espacio sencillo • Archivos Word 97 o RTF Las preguntas sobre patrocinios, descuentos, inscripciones, en general aspectos comerciales del evento, deben ser remitidos a Sra. Beatriz Caicedo, Directora Ejecutiva de la Asociación Colombiana de Ingenieros de Sistemas - ACIS a la dirección [email protected] Las inquietudes sobre aspectos academicos deberán ser enviadas al correo electrónico del Coordinador Académico del evento. Todos los trabajos presentados serán tratados como propiedad intelectual de los autores. Fechas importantes: • Marzo 25 de 2005 - Fecha límite de recepción de

artículos • Mayo 2 a Mayo 6 de 2005 - Notificación de

Aceptación o Rechazo de artículos y comentarios de los evaluadores

• Junio 6 de 2005 - Envio de articulos corregidos para publicación final en las memorias.

• Junio 22, 23 y 24 de 2005 - Realizacion V Jornadas Nacionales de Seguridad Informatica

NOTA: Los artículos corregidos que no lleguen en la fecha sugerida no serán incluidos en las memorias del evento. Los artículos deben ser enviados para su evaluación por parte del comité de programa vía correo electrónico con subject "Articulo-V JNSI" a: [email protected] Mayor Información por favor visite: http://www.acis.org.co/vjornadaseguridad :: Jeimy J. Cano, Ph.D :: [email protected] :: IEEE Senior Member DVP Latinoamerica Coordinador Académico V Jornadas Nacionales de Seguridad Informática Asociación Colomb iana de Ingenieros de Sistemas - ACIS 2005

Utensílios utilizados na Perícia


Andrey R. Freitas

OOnnddee PPrrooccuurraarr PPrroovvaass ?? Antes de realizar uma análise pericial, é importante saber onde procurar as provas. O local dependerá do caso específico, mas em geral, as provas podem ser encontradas nos seguintes locais: Microsoft Windows

• Dados voláteis (usar preferencialmente aplicativos CUI – Console User Interface). • Espaço livre ou não-alocado, onde se pode obter informações de arquivos excluídos. • Os Logs de eventos. • Os Logs dos aplicativos não gerenciados pelo serviço de log de eventos do Windows. • O Registro, que pode ser considerado um enorme arquivo de log. • O arquivo de troca, que abriga informações alocadas recentemente na RAM (pagefile.sys). • Arquivos especiais em nível de aplicativo (cache de navegador). • Arquivos temporários criados por muitos aplicativos. • A lixeira (uma estrutura de arquivos lógicos ocultos onde itens recentemente excluídos podem ser encontrados). • O spool de impressão. • E-mails enviados ou recebidos.

Linux

• Dados voláteis. • Espaço livre ou não-alocado, onde se pode obter informações de arquivos excluídos. • Arquivos de Logs. • Os Logs dos aplicativos não gerenciados pelo Sistema Operacional. • O arquivo de troca (Swap). • Arquivos especiais de configuração. • Arquivos relevantes. • Diretórios temporários. • E-mails enviados ou recebidos. • Processos marginais. • O spool de impressão.

Segurança no Desenvolvimento de Software

http://www.guiatecnico.com.br/CodigoSeguro



NBSO – NIC BR Security Office

CCuurrssooss ddoo CCEERRTT ® //CCCC mmiinniissttrraaddooss ppeelloo NNBBSSOO

O NBSO é um Software Engineering Institute Partner e está licenciado para ministrar oficialmente no Brasil quatro cursos do CERT®/CC: Decrição do Cursos Creating a Computer Security Incident Response Team (CCSIRT) Curso de 1 dia destinado a líderes de projeto e gerentes que tenham recebido a tarefa de implementar um Grupo de Resposta a Incidentes de Segurança em Computadores (CSIRT). Este curso provê uma visão geral das questões chave e decisões que devem ser consideradas durante o estabelecimento de um CSIRT. Como parte do curso os participantes desenvolverão um plano de ação que poderá ser utilizado como ponto inicial do planejamento e implantação de seu próprio CSIRT. Maiores detalhes podem ser obtidos em http://www.nbso.nic.br/cursos/creating-a-csirt/ Managing Computer Security Incident Response Teams (MCSIRTs) Este curso de 3 dias é destinado a atuais e futuros gerentes de Grupos de Resposta a Incidentes de Segurança em Computadores (CSIRTs). Neste curso as questões técnicas são abordadas do ponto de vista gerencial. É apresentada uma visão pragmática das questões que serão enfrentadas ao gerenciar um CSIRT, bem como do tipo e natureza do trabalho que se espera que os membros de um CSIRT realizarão. Maiores detalhes podem ser obtidos em http://www.nbso.nic.br/cursos/managing-csirts/ Fundamentals of Incident Handling (FIH) Este curso de 5 dias, destinado ao pessoal técnico de Grupos de Segurança e Resposta a Incidentes, foi desenvolvido de modo a definir e esclarecer a natureza do trabalho que um incident handler realiza. Ele provê uma visão geral sobre o cenário do trabalho de tratamento de incidentes, incluindo os serviços prestados pelo CSIRT, as ameaças dos invasores e a natureza das atividades de resposta a incidentes. Maiores detalhes podem ser obtidos em http://www.nbso.nic.br/cursos/fundamentals-inc-handling/ Advanced Incident Handling for Technical Staff (AIH) Este curso de 5 dias baseia-se fortemente nas ferramentas e métodos discutidos no curso Fundamentals of Incident Handling e fornece passos que incident handlers podem seguir para responder a incidentes de segurança que envolvam acesso privilegiado a sistemas e redes. Através de exercícios

interativos, discussões e exercícios em grupo os instrutores auxiliam os participantes a identificar e analisar um conjunto de incidentes e vulnerabilidades e, então, propor estratégias de resposta apropriadas. Os participantes também irão explorar outros aspectos do trabalho de um CSIRT, incluindo análise de artefatos, desenvolvimento de advisories, alertas e interação com administração superior. Maiores detalhes podem ser obtidos em http://www.nbso.nic.br/cursos/advanced-inc-handling/ Estes cursos fazem parte do curriculum para o programa de certificação CERT® Certified Computer Security Incident Handler. Público Alvo

Estes cursos são destinados a profissionais atuantes em Grupos de Segurança e Resposta a Incidentes ou que estejam envolvidos com tratamento de incidentes de segurança.

Instrutores Os instrutores dos cursos do NBSO detém a certificação CERT® Certified Computer Security Incident Handler e sólida formação em administração e segurança de redes, além de uma ampla experiência na área de resposta a incidentes de segurança em computadores. Os instrutores foram aprovados e treinados pelo CERT®/CC, na Carnegie Mellon® University, para ministrar estes cursos. Informações Adicionais Informações adicionais podem ser encontradas na FAQ dos cursos do NBSO. Instituições que necessitarem informações que não estejam disponíveis em nenhuma das páginas mencionadas anteriormente, ou que queiram informações sobre turmas fechadas dos cursos, podem enviar email para: [email protected] (SM) SEI is a service mark of Carnegie Mellon University. ® CERT and Carnegie Mellon are registered in the U.S. Patent and Trademark Office by Carnegie Mellon University.


Leonardo Cunha

FFiirreewwaallllss PPeessssooaaiiss eemm AAmmbbiieenntteess CCoorrppoorraattiivvooss::

UUmmaa NNeecceessssiiddaaddee?? No artigo intitulado “A porta da segurança... ou da insegurança”, publicado na edição n.º 03 da Evidência Digital Magazine, foi mencionado sobre a utilização de firewalls pessoais – Personals Firewalls - como mais uma forma para prover e aumentar a segurança de microcomputadores. Entretanto, esse assunto foi pouco explorado, o que possibilitou, através desse artigo, buscar a criação de uma discussão – levantando questões de um tema polêmico para a maioria dos administradores de rede – sobre sua utilização, nas estações de trabalho, dos ambientes de redes corporativas. Com esse intuito, faz-se necessário atender alguns princípios básicos para garantir a segurança das máquinas dos usuários. Em primeiro lugar, sugere-se manter o sistema operacional (S.O.) atualizado e devidamente configurado, principalmente, se o S.O. for da Plataforma Windows, pois devido a sua popularidade, esse é um dos sistemas mais visados para ataques. E com a finalidade de promover facilidades à atualização automática de estações de trabalho e até servidores que possuem os sistemas operacionais Microsoft Windows 2000, XP e 2003 Server, em uma rede local, pode-se utilizar, por exemplo, o Software Update Services (SUS) da Microsoft. O emprego desse tipo de serviço – atualizações automáticas de S.O.s e aplicativos em redes locais - promove muitas facilidades na árdua tarefa de administrar as estações de trabalho e até os servidores dentro de um ambiente corporativo. Imagine o tempo que seria necessário para que os funcionários do Suporte de uma empresa, quando da divulgação de um novo patch para os S.O.s supracitados e aplicativos correlatos, realizem a instalação das atualizações em cada estação de trabalho. O segundo princípio básico seria garantir que cada estação de trabalho possui um antivírus corporativo instalado e que as mesmas estejam com a última versão disponível das definições de vírus. O terceiro item, onde observa-se também a criticidade, seria à preocupação com a escolha de senhas, pelos usuários e administradores de rede, que não sejam muito fáceis de serem memorizadas por outros usuários, e que seja de difícil forma de adivinhação. Como todos sabem, existem outros princípios básicos de segurança em

ambientes corporativos, porém explorar-se-ão numa outra oportunidade. Mas afinal, o que realmente vem a ser um firewall pessoal? Um firewall pessoal nada mais é do que um aplicativo instalado em uma estação de trabalho que monitora as conexões de entrada e saída que são realizadas com o microcomputador, aceitando ou rejeitando as conexões, baseando-se em regras definidas pelo usuário e/ou pré-estabelecidas quando da realização de sua instalação. Normalmente, sua configuração é mais bem realizada com o seu uso, ou seja, suas regras vão sendo definidas pelo usuário “on

the fly”, pois a cada nova tentativa de acesso solicita-se aceitação ou não de uma determinada tentativa de estabelecimento de uma conexão. No mercado, a variedade de softwares de firewall pessoal incluiu versões totalmente gratuitas, como exemplo, os firewalls pessoais mais conhecidos pelo público brasileiro: ZoneAlarm – segue a URL para

realizar o download da versão free 5.5.062.004 desse produto: http://download.zonelabs.com/bin/free/1012_zl/ zlsSetup_55_062_004.exe; Sygate Personal Firewall, o download da versão free 5.6.2808 pode ser realizado em: http://wcarchive.cdrom.com/pub/simtelnet/win95/ secsys/spf.exe; Tiny Firewall Pro 6, a versão Trial – todas as funcionalidades habilitadas, contudo com expiração de utilização em 30 dias – pode ser obtido através da URL: http://www.tinysoftware.com/home/ tiny2/tf6. Além das versões free e trial apresentadas, pode-se citar as versões comerciais do Norton Personal Firewall 2005, que pode ser adquiridas maiores informações em: http://www.symantec.com/region/br/ product/npf/index.html e o McAfee Personal Firewall Plus, com maiores informações sendo obtidas em: http://br.mcafee.com/root/package.asp?pkgid=103. Apesar desse tipo de aplicativo não ser tão recente, sua popularização data apenas dos meados de 2001, devido ao fato desse não ser trivial ao que se refere a sua configuração pela maioria dos usuários. Em contra partida, hoje, a interface para interação, cada vez mais contempla analogias favoráveis ao cotidiano do usuário final. A popularização desse tipo de ferramenta, também está sendo impulsionado pelo vertiginoso crescimento da utilização da Web em todos os cantos do mundo e ao elevado número de usuários que estão se conectando a internet através de conexões de banda larga, seja


através de cable modem ou wireless, o que proporciona um link de praticamente 24x7 com a Internet. Pensando agora, somente nos usuários corporativos, cujo ambiente à proteção contra ataques, entende-se ser maior devido ao emprego de outras técnicas e/ou ferramentas disponibilizadas na rede corporativa, tais como, firewalls corporativos, seja por hardware ou software, Intrusion Detection Systems (IDS), Network Address Translation (NAT), servidores Proxy, entre outros. Revela-se que, apesar da existência dessas ferramentas, que elevam a segurança desses ambientes, as estações de trabalho ainda estão suscetíveis a “ataques”. Apesar do firewall corporativo proteger os microcomputadores de acessos externos à nossa rede, como ficam as tentativas de invasões que são realizadas de dentro da empresa. Loucura? Não! Note que diversas pesquisas apontam que a grande maioria das tentativas de ataques são realizadas de dentro da própria empresa por funcionários que de alguma forma estão insatisfeitos com o serviço e/ou algum “colega” de trabalho. Nesse sentido, florescem algumas questões quando da possibilidade da utilização de firewalls pessoais nas estações de trabalho de uma rede corporativa para tentar minimizar as possibilidades desses “ataques”, a saber: Não seria recomendável que cada estação de trabalho de um ambiente de rede corporativa utilize um firewall pessoal? O usuário final estará familiarizado com esse tipo de aplicativo? Ele entende a sua “linguagem”? Como seria fornecido o suporte ao usuário? Acredito que a utilização desse tipo de aplicativo nas estações de trabalho é extremamente importante, mesmo sabendo que o tema apresenta notória complexidade, pois envolve fatores como a implementação de uma possível solução para toda uma rede corporativa. Na realidade, o mais importante da utilização desse tipo de software é proporcionar aos usuários a possibilidade de conhecer todas as conexões que estão sendo realizadas do seu e para o seu microcomputador. Verifica-se, também, que instalar, configurar e gerenciar um firewall pessoal em apenas um microcomputador residencial – todo microcomputador deve ter esse tipo de software instalado - não seria uma tarefa extremamente complicada. No entanto, imagine um ambiente empresarial com mais de 1.000 estações de trabalho, onde cada usuário necessita de distintas configurações. Como poderia ser realizado o gerenciamento dos infinitos tipos de conexões que um microcomputador pode realizar de forma automatizada e rápida? Saberiam os usuários alterar as configurações desse software? E qual seria o Custo Total de Propriedade (TCO)? Como possibilitar o gerenciamento e configuração de cada firewall pessoal de forma prática e automática? Recentemente, a Microsoft liberou o SP2 do sistema operacional Windows XP, que incorporou melhorias

significativas no firewall que acompanha esse produto, dessa forma, imagina-se que a administração centralizada do firewall nas estações de trabalho será muito facilitada com a adoção de uma única plataforma. Seria possível utilizar essas facilidades em estações de trabalho com S.O. Linux num parque com mais de 1.000 microcomputadores? IPTABLES e SSH... Tendo em vista o papel do administrador de rede, é fundamental que, além de criar as facilidades necessárias para garantir a integridade dos dados do usuário, provocam-se questionamentos no que tange aos processos de gestão de TI. Como e onde armazenar, de forma íntegra, os arquivos que registram as conexões que foram aceitas ou rejeitadas – arquivos

de logs - em cada estação de trabalho? Existe a possibilidade de centralizá-los? Como garantir a integridade dos arquivos de logs? Como visto, esse artigo teve como objetivo principal apresentar os firewalls pessoais e discutir questões pertinentes sobre a sua utilização em ambientes corporativos. Entretanto, acho que seria extremamente enriquecedor para todos os leitores desse artigo, com o surgimento de novos pontos que

possam vir a contribuir para a discussão a cerca desse tema, que envie-me e-mail [email protected], ou, diretamente, para a lista de discussão do Grupo Perícia Forense Aplicada à Informática [email protected], quem sabe assim o nosso Grupo fomenta respostas a questão foco: É necessário utilizar firewalls pessoais em ambientes corporativos? OBS: A idéia de escrever esse artigo surgiu de uma consultoria em segurança realizada em uma empresa, onde um determinado usuário estava supondo que um outro usuário acessava os seus arquivos pessoais. E qual foi o resultado da auditoria? O administrador da rede estava “bisbilhotando” o microcomputador alheio... Levando-me acreditar, ser necessário que nos cursos técnico e de graduação em informática deveria ser adicionada uma cadeira sobre ética na informática no currículo acadêmico para melhor formação. :: Leonardo Cunha :: [email protected] :: Analista de Sistemas da Prefeitura da Cidade do Rio de Janeiro e Professor de Informática da Fundação de Apoio a Escola Técnica do Estado do Rio de Janeiro (FAETEC) e da Universidade Estácio de Sá (UNESA). Mestrando em Informática, Pós-graduado em Análise, Projeto e Gerência de Sistemas, Tecnologia e Segurança de Banco de Dados e em Tecnologia e Segurança de Redes de Computadores.


Andrey R. Freitas

LLiinnkkss

: RFC 3227 - Guidelines for Evidence Collection and Archiving Best Current Practice. http://www.faqs.org/rfcs/rfc3227.html : RFC 2350 – Expectations for Computer Security Incident Response Best Current Practice. http://www.faqs.org/rfcs/rfc2350.html : RFC 2828 – Internet Security Glossary Informational. http://www.faqs.org/rfcs/rfc2828.html : RFC 2084 – Considerations for Web Transaction Security Informational. http://www.faqs.org/rfcs/rfc2084.html : RFC 2196 – Site Security Handbook Informational. http://www.faqs.org/rfcs/rfc2196.html : RFC 2504 – Users Security Handbook Informational. http://www.faqs.org/rfcs/rfc2504.html : RFC 2323 – IETF Identification and Security Guidelines Informational. http://www.faqs.org/rfcs/rfc2323.html : RFC 2179 – Network Security for Trade Shows Informational. http://www.faqs.org/rfcs/rfc2179.html : RFC 2401 – Security Architecture for the Internet Protocol Standards Track. http://www.faqs.org/rfcs/rfc2401.html : RFC 2630 – Cryptographic Message Syntax Standards Track. http://www.faqs.org/rfcs/rfc2630.html

Documents

Evidencia Digital 04