Em casos de incidentes dentro de uma corporação, como invasão ou roubo de dados, o perito forense é a chave para entender o incidente pelo todo.
Em casos de incidentes dentro de uma corporação, como invasão ou roubo de dados, o perito forense é a chave para entender o incidente pelo todo. De tal modo toda forense segue metodologias que garantem toda a cautela necessária na hora de recolher e examinar evidências.
Abordaremos um dos passos de uma análise forense, onde o perito realizará a coleta dos dados nos dispositivos afetados (como Hard Disk, pendrive, etc). Narrando através de um cenário real o processo de coleta, utilizaremos a ferramenta Guymager, que facilita a tarefa da coleta e oferece muitos recursos, incluindo interface gráfica.
Conhecendo o Guymager
O Guymager é uma ferramenta open source muito conhecida nas distribuições forense, tem uma interface gráfica amigável, tornando fácil o acompanhamento do status da cópia, como tempo remanescente, taxa de transferência, tamanho do disco, entre outras informações.
Podemos destacar outras funcionalidades como:
- Rapidez e robustez devido utilizar multithread e compressão de dados.
- Checa a integridade dos dados copiados após o término.
- Gera cópias nos formatos (dd), EWF (E01) e AFF.
- Podemos encontrar ela em diversas distribuições, como Kali Linux, PeriBr, DEFT, CAINE.
Criando um cenário do caso
Muitos perguntam o porquê de utilizar uma ferramenta de forense para realizar cópia em disco ao invés de usar ferramentas que fazem backup de dados do HD (como da Symantec). A explicação é simples, as ferramentas de “tipo” forense realizam cópia bit a bit, ou seja, mesmo se não tiver uma área não alocada no disco rígido ele ainda será copiado. Um fator muito importante para analisar registros e arquivos deletados que ainda podem ser recuperados.
Iremos utilizar uma máquina virtual como demonstração, mas é aplicado da mesma forma numa máquina física. Antes de iniciarmos, precisamos definir um cenário para interpretar o uso dos recursos da ferramenta para absorver melhor suas funcionalidades. Dando um exemplo simples, usaremos o seguinte cenário: “Numa corporação ‘x’ teve 3 máquinas comprometidas, as quais foram invadidas, e precisamos coletar evidências dos discos rígidos para que possa fazer uma análise do incidente ocorrido“.
A partir desse cenário iremos seguir o seguinte procedimento:
- Iniciaremos o boot na máquina da vítima utilizando o modo live da distro Kali Linux, simulando que não temos acesso à credencial de logon da máquina. Vale ressaltar que caso a máquina tenha o disco criptografado é necessário acionar a gerencia para que envie a autenticação do disco criptografado.
- Espetaremos o nosso dispositivo externo (HD externo) para receber a cópia do HD da vítima.
- Reconhecer qual disco/partição que será copiado e iniciar o Guymager para realizar a cópia.
Lembrando que os passos destacados na coleta é para simplificar a lógica do processo, ou seja, num caso real existe outras fases anteriores de coleta verbal e análise profunda de todo o caso.
Caso você esteja autenticado na máquina da vítima, pode pular para o passo 2. Lembrando que não é tão recomendado realizar esse tipo de processo devido ter interferência (“brisa digital” ), que não abordaremos seus conceitos nesse artigo.
Caso queira clonar um outro dispositivo físico, como um pendrive, pode-se utilizar o mesmo procedimento.
Clonando o Disco
Vale ressaltar que a ferramenta precisa rodar com privilégios de root, pois caso necessite copiar algum dispositivo não conseguirá com usuário sem privilégio.
Demonstraremos o passo 3 na prática! Para realizar a cópia é importante reconhecer os dispositivos de armazenamento na máquina. Com o comando fdisk -l visualizamos as partições lógicas e físicas criadas no HD, como demonstrado na imagem abaixo.
# fdisk -l
Nosso HD externo foi reconhecido no caminho /dev/sdb1 e os discos da vítima no caminho /dev/sda1../sda2../sda5.
Agora iremos abrir a ferramenta. Você pode iniciar ela tanto pelo console dos programas nas abas da distro, quanto entrar no terminal e dar o comando guymager:
# guymager
Repare que automaticamente ele irá reconhecer os dispositivos, algumas vezes pode dar algum erro e ele pedirá de forma intuitiva para você selecionar o programa que irá reconhecer as partições (são 2 opções). Mas como tudo montou corretamente e foi reconhecido os dispositivos que iremos realizar a cópia, continuamos com o próximo passo (preste atenção para ver se reconhece o disco da vítima e o seu HD externo).
Selecione o dispositivo a ser copiado (da vítima) e clique com o botão direito e selecione a opção Acquire image. Feito isso, irá aparecer o painel para configurar os recursos de como será copiado o disco:
Agora temos algumas opções de cópia, a diferença delas, em suma, é a otimização que cada formato tem em comprimir e copiar os dados. No caso vamos usar o formato Expert Witness Format que se adequada ao formato do Encase, que é uma excelente ferramenta de análise de disco que podemos utilizar no processo de análise de dados mais tarde.
Agora preencha as informações do caso, que é um fator muito importante na cadeia de custódia durante a investigação.
Repare que a opção Split image files está habilitada por padrão, sua funcionalidade server para otimizar o processo de cópia, copiando pequenos blocos do disco. Você pode selecionar o tamanho que quiser, deixaremos o Split size no tamanho default de 2047 Mib.
Agora na parte inferior do programa, selecionamos o destino da imagem a ser gravada, que no caso é nosso HD externo. Após selecionar o destino da imagem (diretório do HD externo) temos opções de gerar alguns tipos de HASH, como Sha-1,MD5 e SHA-256, que servem para verificar a integridade da cópia do disco, caso necessite verificar que a cópia não será alterada após o processo realizado. Escolha o formato de HASH que desejar, após ter feito isso temos outra opção de checar a integridade da cópia que verifica se foi realizado sem erros, esse processo é muito útil, porém demora-se mais devido essa “checagem” levar mais tempo.
Feito isso, dê um START e irá iniciar a cópia. No dashboard (painel de controle) conseguimos verificar todas as informações do processo: tempo que levará, taxa de transferência, entre demais outras.
Após o término da cópia, irá aparecer SUCCESSFUL, finalizando assim todo o processo de coleta.
Dica: priorize sempre que possível utilizar entradas USB 3.0 para cópia dos dispositivos, e utilizar imagem live em memória flash (pendrives) ao invés de CD/DVDs gravados.
Após isso, vemos os arquivo gerados abaixo.
CONCLUSÃO
O processo pelo todo é demorado, dependendo do tamanho de disco. Por experiência, em um dos casos, o disco de 500 GB levou em média 8 horas para ser copiado, por isso que uma entrada USB 3.0 faz muita diferença. A ferramenta Guymager é muito útil e fácil de utilizar, compensando utilizá-la ao invés de utilizar o comando o dd.