Archive for category Pericia Forense
Passo a Passo para um Teste de Penetração (PenTest)
Publicado por Aldo Silva em Pericia Forense, Segurança de TI em 10/11/2011
Segue uma republicação do post sobre teste de penetração, pois comentei esse nome com um grupo colegas, a maioria riram pensando que era algum tipo teste próstata, bem, para quem não tem conhecimento segue.
As invasões “reais” são realizadas por pessoas com alto nível de conhecimento técnico, com focos específicos em determinadas instalações ou empresas. Existe vários motivos pessoal, por questões financeiras, na intenção de cometer fraudes ou até mesmo contratados por empresas concorrentes para espionagem ou sabotagem.
Existe também uma categoria de profissionais que são contratados pelas empresas para testar seus próprios sistemas de segurança, essa atividade se chama de PenTest (Penetration Test ou Teste de Penetração). Entenderam né ! posso continuar !
Esse tipo de invasão é uma atividade coordenada e cuidadosamente planejada, que passa por diversas etapas, conforme vamos ver a seguir.
1. Coleta de informações
Antes de iniciar qualquer tentativa de invasão, devemos coletar o máximo de informações a respeito da empresa atacada. Uma pesquisa no Google pode ser um bom começo para saber o que existe de informação disponível na internet, a respeito de:
- Atividades da empresa;
- Composição acionária;
- Nomes de sócios, diretores, gerentes de TI, administradores da rede;
- Filiais e empresas coligadas;
- Endereços de homepages e e-mails;
Ainda nessa fase, considerando que a empresa possua um site na internet, podemos coletar as informações sobre endereços de servidores DNS (Domain Name Service ou Serviço de Nome de Domínio), nome do responsável técnico, endereço e cnpj.
Sniffer Spoofing: Ataques Monitorados
Publicado por Aldo Silva em Pericia Forense, Segurança de TI em 23/09/2011
Segue um artigo escrito por parceiro Ricado Martins, quem quiser visitar o blog dele é só clicar no nome.
O que são os ataques monitorados?
Os ataques por monitoração são baseados em softwares de monitoração de rede conhecido como “sniffer”, instalado sorrateiramente pelos invasores.
O sniffer grava os primeiros 128 bytes de cada sessão login, telnet e FTP session vista naquele segmento de rede local, comprometendo TODO o tráfego de/para qualquer máquina naquele segmento, bem como o tráfego que passar por aquele segmento.
Os dados capturados incluem o nome do host destino, o username e o password. A informação é gravada em um arquivo posteriormente recuperado pelo invasor para ter acesso a outras máquinas.
Em muitos casos os invasores obtêm acesso inicial aos sistemas usando uma das seguintes técnicas:
- Obtêm o arquivo de passwords via TFTP em sistemas impropriamente configurados;
- obtêm o arquivo de password de sistemas rodando versões inseguras do NIS;
- Obtêm acesso ao sistema de arquivos local via pontos exportados para montagem com NFS, sem restrições;
- usam um nome de login e password capturada por um sniffer rodando em outro sistema.
Uma vez no sistema, os invasores obtêm privilégios de root explorando vulnerabilidades conhecidas, tal como rdist, Sun Sparc integer division e arquivos utmp passíveis de escrita por todo mundo ou usando uma password de root capturada.
Eles então instalam o software sniffer, registrando a informação capturada num arquivo invisível. Adicionalemtne , eles instalam cavalos de tróia em substituição dentre os seguintes arquivos do sistema, para ocultar sua presença:
/bin/login
/usr/etc/in.telnetd
/usr/kvm/ps
/usr/ucb/netstat
O que é Spoofing?
Chupa Cabra – Clonagem de Cartões
Publicado por Aldo Silva em Pericia Forense em 24/05/2011
Não é novidade que os cartões magnéticos são clonados de maneira grosseira por todos os cantos do país. O prejuízo causado por este tipo de fraude já ultrapassou a casa dos 31 milhões de reais só no primeiro semestre de 2009. Esse valor ainda não atinge grandes quantias se comparado à compra total via cartão de crédito no Brasil, mas já chegou a 1% deste todo.
Os “cartãozeiros”, como são chamados os fraudadores de cartões magnéticos, possuem diversas táticas para fazer com que o dono do cartão caia em um golpe. Antes da introdução dos cartões com chip no mercado, o índice de clonagens era muito maior. Se ação fosse realizada em um caixa eletrônico em uma agência bancária (o que não é nenhum pouco incomum) os bandidos colocariam o “chupa-cabra” – aparelho usado para copiar as trilhas magnéticas do cartão – no leitor de cartões e, em um lugar um pouco mais alto, filmariam o cliente digitando a senha.
Estes aparelhos que roubam a identificação magnética dos cartões nada mais são do que leitoras comuns alteradas para que passem a gravar estes códigos e reproduzi-los em cartões quaisquer. No entanto, este método é um tanto grosseiro para os padrões tecnológicos que temos hoje. Infelizmente, a tecnologia também chega para auxiliar organizações criminosas e usuários mal intencionados.
Mau uso da tecnologia
Com a chegada dos sites bancários e das funções home-banking, o bandido só precisa encontrar um arquivo espião para fazer com que a senha e o número de cartão de crédito sejam roubados do computador do cliente. Isso acontece muito em casos de emails fraudulentos que se passam por comunicados da Receita Federal, Caixa Econômica Federal e outros bancos brasileiros ou até mesmo do exterior.
O processo de clonagem é mais simples do que muita gente pode imaginar. Porém, exige um arsenal de equipamentos que chegam a custar mais de 10 mil dólares. Nestes casos, o falsário não trabalha com materiais quaisquer e sim com réplicas quase idênticas aos cartões originais das operadoras mais variadas. Para fazer essa falsificação as quadrilhas utilizam impressoras de cartões, máquinas para criação de hologramas, impressão das letras em alto relevo e uma série de outros equipamentos.
Entretanto, esse tipo de quadrilha altamente especializada é mais frequente em países estrangeiros. No Brasil, o que se vê com frequência são as falsificações grosseiras. Muitos bandidos aproveitam dos cartões magnéticos oferecidos em centros de diversão eletrônica de shoppings centers para reproduzir as trilhas magnéticas dos cartões originais.
Evidências Eletrônicas na Rede
Publicado por Aldo Silva em Pericia Forense em 25/04/2011
Redes GSM contêm informações que podem ser de valor como meio de evidência. A informação mais valiosa é indiscutivelmente o Call Record Database do operador de rede. Esta base de dados contém informação sobre cada chamada feita na rede móvel.
1.1 – Base de Dados dos Assinantes
O operador de rede mantém o seu próprio banco de dados de assinante. O banco de dados contém normalmente as seguintes informações sobre cada cliente:
• Nome e endereço do cliente
• Faturamento nome e endereço (se diferente do cliente)
• Faturamento conta detalhes
• Número de Telefone (MSISDN)
• IMSI
• SIM número de série (como impresso no cartão SIM)
• PIN / PUK para o SIM
• Serviços permitidos
Desta forma é possível que o investigador consiga rastrear o dono do aparelho encontrado em uma cena de crime, obviamente desde que os dados armazenados na operadora sejam válidos.
1.2 – Gravação de Dados das Chamadas (CDR)
A gravação de dados das chamadas (Charging Data Record – CDR) é produzida cada vez que um usuário faz uma chamada ou envia uma mensagem de texto. O CDR se produz no interruptor (MSC), onde provém a chamada ou mensagem. Todos os CDRs gerados são então reunidos em uma base centralizada e utilizada para o faturamento e para outros fins. Cada CDR contém o seguinte:
• MSISDN do Remetente (A-Número)
• MSISDN do Destinatário (B-Número)
• IMEI do Remetente e do Destinatário
• Comprimento
• Tipo de Serviço
• Primeira Base Station (BTS)
Os CDRs podem ser filtrados em qualquer um dos parâmetros referidos. Isto significa que não se pode apenas obter uma lista de todas as chamadas feitas para / a partir de certo SIM, mas também para / de um determinado telefone, independentemente do SIM que foi utilizado. Ao olhar para o servidor BTS, a localização do assinante pode ser assinalada com a precisão de uma célula, a qualquer momento que o assinante enviar ou receber uma chamada ou uma mensagem de texto. Essas informações certamente possuem um grande valor comprovativo.
Evidências no Mobile Equipment
Publicado por Aldo Silva em Pericia Forense em 18/04/2011
Existem requisitos funcionais para o Mobile Equipment cumprir no sistema GSM quando se trata da interface com a rede e do SIM. Enquanto estes requisitos sejam cumpridos, cabe ao fabricante decidir quais as outras funções para aplicar sobre o ME, como o armazenamento de diferentes tipos de informação. Existe uma longa série de diferentes telefones no mercado, cada um com as suas próprias capacidades de armazenamento de informações e cada um com suas próprias potencialidades como evidência digital. Este trabalho está focado em buscar os princípios gerais e informações que são normalmente armazenados em diferentes tipos de equipamentos.
1.1 – Acesso ao telefone
Dado que o acesso ao SIM é necessário para usar o telefone, todos os telefones devem pedir o código PIN do cartão SIM quando o telefone for ligado, a menos que o PIN seja desativado. Muitos celulares também têm a possibilidade de pedir código de acesso separado para a memória do telefone. Este recurso é raramente utilizado, uma vez que, em seguida, o usuário terá que digitar dois códigos de acesso sempre que o telefone é ligado. Em princípio, o investigador não terá como burlar este código de acesso, a não ser pela utilização de ferramentas especial para acessar o conteúdo do telefone.
1.2 – Análise Forense de celulares GSM
A maioria, se não todos, os telefones implementam armazenamento de informações por meio de memória flash. Esta memória contém todas as informações guardadas no telefone, bem como de software interno de telefone. O procedimento forense de análise dos telefones seria, realizar um backup do conteúdo da memória do telefone, e analisar o conteúdo off-line. Como a maioria dos telefones fornece uma maneira de o fabricante acessar o conteúdo e atualização do software, este procedimento pode ser feito realmente para a maioria dos telefones. Este procedimento exige conhecimento da programação interface do telefone, estas informações geralmente são disponibilizadas pelos próprios fabricantes. As ferramentas para acessar a memória do telefone diretamente (chamado “flashers”) estão disponíveis na internet para muitos telefones (Telefones da Nokia, Sony Ericsson, Siemens e Motorola, dentre outras).
A maioria dos telefones pode ser conectada a um computador para a transferência de dados. Conexão esta que pode ser feita por meio de um cabo especial do fabricante, ou usando interfaces sem fios, como IrDa ou Bluetooth. As informações sobre o telefone podem, então, ser acessados usando um software disponibilizado pelo fabricante. Esses softwares geralmente irão permitir que o usuário baixe as informações contidas dentro do telefone, tais como mensagens de texto, agenda, números discados, as chamadas recebidas, e configuração parâmetros. O conteúdo da memória não será diretamente acessível utilizando tais ferramentas. Um terceiro método de análise forense de um celular é simplesmente usar o teclado do telefone para ter acesso à informação armazenada, e fotografar-la como ela vem na tela. A maior parte das informações armazenadas sobre os telefones pode ser acessada através do telefone no menu do sistema. O IMEI é na maioria dos telefones disponíveis ao digitar * # 06 #. Este método é arriscado já que ele poderá alterar as informações sobre o telefone e por este motivo deverá ser esgotada todas as outras opções antes de recorrer a este tipo de método. Como um exemplo, telefones Nokia armazenam os registros de chamadas
efetuadas e recebidas no telefone. Se um usuário retira o cartão SIM e inserir outro cartão, esses registros serão apagados. Os investigadores devem, portanto, ser cauteloso com a remoção do cartão garantindo que toda informação relevante já tenha sido salva.
1.3 – O Conteúdo do Telefone
Os seguintes conteúdos dos celulares modernos podem ter valor como meio de evidência:
• IMEI
• Números
• Mensagens de Texto
• Definições (Idioma, data / hora, tom / volume, etc.)
• Gravações áudio
• Arquivos informáticos
• Chamadas recebidas e números discados
• Programas armazenados
• Agenda de Eventos
• GPRS, WAP e Internet configurações.
A maior parte desta informação está disponível através dos programas disponibilizados pelos próprios fabricantes ou por softwares específicos. No entanto, a
análise direta da memória pode revelar outras informações escondidas, como mensagens de texto apagadas.
1.4 – Ataques no telefone
Existem algumas ferramentas que permitem o acesso direto à memória do telefone, os chamados flashers, tais ferramentas também permitem realizar
modificações no conteúdo do telefone, incluindo software do telefone. Essa modificação geralmente é feita para remover alguns bloqueios no telefone. O mais comum é a remoção de bloqueios impostos pelas operadoras. O SP-locked é o bloqueio do telefone para operar somente com uma determinada operadora. Esses bloqueios são freqüentemente realizados em telefones baratos vendidos em conjunto com as assinaturas ou pré-inscrições, para bloquear o cliente a uma determinada operadora de telefonia. Outra mudança que se deseja fazer é mudar o código IMEI de um telefone. Isso é necessário para utilizar aparelhos roubados, conseguindo, desta forma, burlar a lista negra no EIR. A capacidade de mudar IMEI também poderia tornar mais difícil para detectar o uso de telefones específicos. É desejável encontrar uma forma de detectar que o IMEI de um telefone foi alterado. O método mais óbvio de fazer isso é comparar o
IMEI armazenado internamente com o IMEI impresso no telefone (normalmente localizada sob a bateria).
Material de estudo do Raphael Luiz Dias de Oliveira , Informações contidas nesse post é para nível de conhecimento elaboração em 2008
Leia também ==> Pericia Forense em aparelhos GSM
-
Está a visualizar o arquivo da categoria Pericia Forense.
Parceiros
