Técnicas Antiforense

Raffael Vargas

é analista de sistemas e iniciou suas atividades como perito computacional em 2007. Já ministrou cursos para departamentos de inteligência, setores de processamento de dados, institutos de criminalística, faculdades e empresas privadas. É especialista em laboratórios de investigação e em processos metodológicos de investigação e forense computacional para busca, aquisição e manuseio de evidências. Desenvolveu projetos para núcleos internos e móveis de inteligência, além de possuir certificações em forense computacional e softwares de investigação. Trabalha atualmente com inteligência, contra-inteligência e análise de artefatos digitais, como Investigador Digital e Perito Forense Computacional para uma grande empresa do setor de processamento de cartões de crédito, além de fornecer suporte a forças policiais.

Conhecendo o EnCase Forensic v7

18 fev, 2011

Tenha uma pequena biblioteca de Forense Computacional e Direito Digital

18 ago, 2010

Investigação Digital ou Perícia Forense Digital

Atualmente, as técnicas forenses para busca de evidências têm crescido nitidamente aos olhos de quem trabalha na área. As formas de se encontrar dados a maioria dos profissionais já conhecem. Mas e as atividades antiforense? Como serão tratadas, quais são, como são realizadas, onde encontraremos estas informações?

Conversando com um amigo, me chamou muito a atenção o fato de que “o uso de técnicas de antiforense é crescente e a sofisticação e automatização do seu uso em ataques reais é visível” (Sandro Suffert. especialista em Forense Digital e Resposta a Incidentes de Segurança).

Após ler o que foi postado em seu Blog pode-se verificar que, segundo o último “Verizon Databreach Report 2009”, dentre os incidentes de segurança investigados pelo time de resposta a incidentes da Verizon, em 2008, em 31% foram utilizadas técnicas de data wiping, em 9% data hiding e em 3% data corruption.

Em busca de um exemplo para a popularização de ferramentas de Antiforense, pode-se encontrar em Windows o projeto Metasploit Anti-Forensics, de 2007, que fornece ferramentas de fácil uso para mudança de MAC Times (timestomp), ocultação de dados em slack space (slacker), obtenção dos hashes da SAM diretamente da memória (sam juicer).

Além do projeto acima uma novidade nesta área de Antiforense é a apresentação da Black Hat 2009, chamada “Anti-Forensics: The Rootkit Connection (paper / apresentação)”, que foi feita por Bill Blunden e apresenta detalhadamente as atividades de:

Destruição de Dados (File scrubbing, Meta-data wiping, File System Attacks);
Ocultação de Dados (In-Band, Out-of-Band, and Application Layer Concealment);
Corrupção de Dados (Compression, Encryption, Code Morphing, Direct Edits);
Fabricação de Dados (Introduce known files, String decoration, False audit trails);
Eliminação da Fonte de Dados (Data Contraception, In-Memory DLL Injection).

De acordo com Suffert, o objetivo é a utilização de Rootkits que permitam que o mínimo de evidências sejam deixadas em disco e que estas evidências sejam difíceis de ser encontradas.

Fonte: http://sseguranca.blogspot.com/

Prever o que o futuro nos aguarda é muito difícil, mas sabemos de uma coisa: a guerra continua. Enquanto por um lado buscamos evidências, de outro lado grupos criam ferramentas para “embaralhar” este processo, mas sempre foi assim, desde antes do “Cavalo de Tróia”.

O que posso dizer é “desistir nunca, render-se jamais”.

Fiquem com Deus e até o próximo artigo.

De 0 a 10, o quanto você recomendaria este artigo para um amigo?