E ai pessoal!
Como alguns devem saber, nossa idéia de criar um fórum para o pessoal compartilhar conhecimento e trocar uma idéia não funcionou muito bem. Então vamos acabar com o fórum.
Todos os posts interessantes serão postados aqui no blog com os devidos créditos originais (se disponíveis) e créditos de quem postou no fórum.
Você tem algum conteúdo que gostaria de publicar aqui? Envie seu texto por email para nós ou através do grupo do Facebook.
Vamos começar hoje com o post Apagando Rastros do usuário brayanpoloni:
- Entender a importância de cobrir rastros;
- Conhecer as técnicas para encobrir suas ações;
- Conhecer as ferramentas empregadas;
Um dos objetivos, em um teste de invasão, de utilizar técnicas para encobrir seus rastros e ações, é para testar a eficácia e competência do time de resposta a incidentes e perícia forense caso existam.
As técnicas para apagar rastros também são conhecidas como "anti-forensic".
Não há necessidade desse tipo de ação por parte de um pentester, caso queira deixar as evidências de exploração para posterior análise por parte da equipe de TI da empresa CONTRATANTE. No entanto, caso tenha como objetivo testar, também, a capacidade da equipe de perícia forense em investigar um caso de invasão, é interessante implementar os passos aqui descritos.
- Logs de IDS
Onde são armazenadas todas as evidências de tráfego anormal que tenha sido detectado na rede. Isso inclui desde o envio de arquivos maliciosos à varreduras no sistema, em busca de informações.
- Logs de firewall
Logs que guardam as informações filtradas por regras de firewall. Normalmente os administradores, quando criam as regras de firewall, tem por hábito mandar armazenar em log tentativas de varreduras, ataques de brute force e acesso sem autorização a serviços específicos.
- Arquivos copiados no sistema
Qualquer arquivo que tenha sido copiado para o sistema, mesmo que posteriormente seja apagado, deixa rastros que podem ser recuperados com ferramentas específicas.
- Arquivos sendo executados, como backdoors, por exemplo
Todo programa em execução, é reconhecido pelo sistema como um processo, e como um pode ser recuperado da memória. Existem várias formas de mascarar a execução de binários, como por exemplo um rootkit, que substitui binários do sistema por seus próprios, com implementações de códigos maliciosos.
- Logs de comandos
Tudo o que é digitado no terminal é armazenado no .bash_history do usuário, por exemplo. Mesmo que seja apagado, esse arquivo também pode ser recuperado pela equipe de perícia forense.
- Logs de sessão
Quando efetuamos o login e autenticamos uma sessão válida, tudo o que ocorre na mesma é armazenado em logs. Algumas organizações possuem, inclusive, servidores exclusivos para armazenamento e gerenciamento de logs. No linux, a maioria dos logs ficam armazenados em /var/log.
- Sobreescrita de dados
Quando apagamos algo em um disco, os dados são apenas marcados para a deleção e não realmente apagados. Os dados marcados para a deleção, são apagados apenas quando o sistema operacional utiliza os mesmos blocos do disco para gravar novos dados, realizando a sobreescrita. Quanto mais vezes aquele mesmo setor for sobreescrito, masi difícil se tornará a recuperação das informações originalmente existentes. Esse método também é conhecido como "wipe".
- Prevenção de criação de dados
É possível através da alteração de permissão em determinados arquivos, que novos dados sejam inseridos no mesmo, por exemplo. Podemos citar o caso de arquivos de log, que se tiver sua permissão alterada para negar a possibilidade de escrita nos mesmos, nenhuma nova operação será armazenada, e o administrador do sistema não poderá fazer a verificação posterior para entender o que comprometeu o sistema ou a rede.
- Encriptação de dados
A melhor maneira de ocultar um arquivo, para que ninguém veja seu conteúdo, ou consiga alterá-lo, é encriptando-o, seja através de uma ferramenta específica de encriptação, seja ocultando o arquivo dentro de outro, cuja extensão e conteúdo sejam diversos do original. Essa última técnica também pode ser chamada de esteganografia.
- Deleção segura de dados
Essa técnica está diretamente vinculada com a primeira, de sobreescrita de dados. Todo e qualquer processo de deleção de arquivos, deve ser cuidadoso, para que não seja possível a posterior recuperação das informações.
- Tor (The Onion Router)
O Tor mantém o usuário livre de bisbilhoteiros, inclusive os do FBI e os da CIA, e impede (ou melhor, dificulta bastante) qualquer tipo de rastreamento. E é exatamente isso que o tor oferece. Ao invés de seguir uma rota direta entre a origem e o destino, toda a informação transmitida por ele segue um caminho randômico, que se altera permanentemente, através de diversos servidores voluntários que cobrem a rota. Fica difícil para qualquer sistema saber quem você é, onde você está ou de onde veio, embora seja possível saber o que você está levando consigo.
- Wipe
Wipe é um aplicativo que permite a deleção segura dos dados, permitindo que o usuário defina quais arquivos serão apagados e quantas vezes aqueles blocos do disco, onde os arquivos apagados estavam alocados, serão sobreescritos. Quanto mais vezes se sobreescreve, mais díficil a posterior recuperação dados. Cada operação de sobreescrita deve ser realizada até o final, para que o programa seja completamente eficaz.
- Scrub
Outra possibilidade para realizar o "data wiping", sobreescrevendo os dados deletados com um padrão determinado de informações, que podem ou não ser removidas no final da informação. Se não forem removidas, o perito forense encontrará apenas "lixo digital" nos blocos do disco, sem qualquer ocorrência.
- Steghide
Steghide é um programa de esteganografia que é capaz de esconder dados em vários tipos de arquivos de áudio e imagem. As frequências de som e de cor, respectivamente, não são alteradas tornando o arquivo resistente contra testes estatísticos de primeira ordem. Formatos de arquivos JPEG, BMP, WAV e AU são suportados para uso como arquivo de "cobertura". Não há restrições sobre o formato dos dados secretos. O algoritmo de criptografia padrão é o Rijndael com uma chave de 128 bits de comprimento (que é AES - Advanced Encryption Standard). Se você não confia nesta combinação por qualquer razão, ele lhe permite alterar a combinação modo/algoritmo.
- Instalar Host IDS nas máquinas;
- Manter as regras de firewall e NIDS bem configuradas;
- Gerencias logs em servidores próprios e bem protegidos;
- Gerenciar permissões em servidores, utilizando ferramentas como o SELinux, por exemplo.
Créditos: brayanpoloni
Como alguns devem saber, nossa idéia de criar um fórum para o pessoal compartilhar conhecimento e trocar uma idéia não funcionou muito bem. Então vamos acabar com o fórum.
Todos os posts interessantes serão postados aqui no blog com os devidos créditos originais (se disponíveis) e créditos de quem postou no fórum.
Você tem algum conteúdo que gostaria de publicar aqui? Envie seu texto por email para nós ou através do grupo do Facebook.
Vamos começar hoje com o post Apagando Rastros do usuário brayanpoloni:
## Apagando Rastros ##
Objetivos
- Entender a importância de cobrir rastros;
- Conhecer as técnicas para encobrir suas ações;
- Conhecer as ferramentas empregadas;
Por que encobrir rastros?
Um dos objetivos, em um teste de invasão, de utilizar técnicas para encobrir seus rastros e ações, é para testar a eficácia e competência do time de resposta a incidentes e perícia forense caso existam.
As técnicas para apagar rastros também são conhecidas como "anti-forensic".
Não há necessidade desse tipo de ação por parte de um pentester, caso queira deixar as evidências de exploração para posterior análise por parte da equipe de TI da empresa CONTRATANTE. No entanto, caso tenha como objetivo testar, também, a capacidade da equipe de perícia forense em investigar um caso de invasão, é interessante implementar os passos aqui descritos.
O que encobrir?
- Logs de IDS
Onde são armazenadas todas as evidências de tráfego anormal que tenha sido detectado na rede. Isso inclui desde o envio de arquivos maliciosos à varreduras no sistema, em busca de informações.
- Logs de firewall
Logs que guardam as informações filtradas por regras de firewall. Normalmente os administradores, quando criam as regras de firewall, tem por hábito mandar armazenar em log tentativas de varreduras, ataques de brute force e acesso sem autorização a serviços específicos.
- Arquivos copiados no sistema
Qualquer arquivo que tenha sido copiado para o sistema, mesmo que posteriormente seja apagado, deixa rastros que podem ser recuperados com ferramentas específicas.
- Arquivos sendo executados, como backdoors, por exemplo
Todo programa em execução, é reconhecido pelo sistema como um processo, e como um pode ser recuperado da memória. Existem várias formas de mascarar a execução de binários, como por exemplo um rootkit, que substitui binários do sistema por seus próprios, com implementações de códigos maliciosos.
- Logs de comandos
Tudo o que é digitado no terminal é armazenado no .bash_history do usuário, por exemplo. Mesmo que seja apagado, esse arquivo também pode ser recuperado pela equipe de perícia forense.
- Logs de sessão
Quando efetuamos o login e autenticamos uma sessão válida, tudo o que ocorre na mesma é armazenado em logs. Algumas organizações possuem, inclusive, servidores exclusivos para armazenamento e gerenciamento de logs. No linux, a maioria dos logs ficam armazenados em /var/log.
Técnicas
- Sobreescrita de dados
Quando apagamos algo em um disco, os dados são apenas marcados para a deleção e não realmente apagados. Os dados marcados para a deleção, são apagados apenas quando o sistema operacional utiliza os mesmos blocos do disco para gravar novos dados, realizando a sobreescrita. Quanto mais vezes aquele mesmo setor for sobreescrito, masi difícil se tornará a recuperação das informações originalmente existentes. Esse método também é conhecido como "wipe".
- Prevenção de criação de dados
É possível através da alteração de permissão em determinados arquivos, que novos dados sejam inseridos no mesmo, por exemplo. Podemos citar o caso de arquivos de log, que se tiver sua permissão alterada para negar a possibilidade de escrita nos mesmos, nenhuma nova operação será armazenada, e o administrador do sistema não poderá fazer a verificação posterior para entender o que comprometeu o sistema ou a rede.
- Encriptação de dados
A melhor maneira de ocultar um arquivo, para que ninguém veja seu conteúdo, ou consiga alterá-lo, é encriptando-o, seja através de uma ferramenta específica de encriptação, seja ocultando o arquivo dentro de outro, cuja extensão e conteúdo sejam diversos do original. Essa última técnica também pode ser chamada de esteganografia.
- Deleção segura de dados
Essa técnica está diretamente vinculada com a primeira, de sobreescrita de dados. Todo e qualquer processo de deleção de arquivos, deve ser cuidadoso, para que não seja possível a posterior recuperação das informações.
Ferramentas
- Tor (The Onion Router)
O Tor mantém o usuário livre de bisbilhoteiros, inclusive os do FBI e os da CIA, e impede (ou melhor, dificulta bastante) qualquer tipo de rastreamento. E é exatamente isso que o tor oferece. Ao invés de seguir uma rota direta entre a origem e o destino, toda a informação transmitida por ele segue um caminho randômico, que se altera permanentemente, através de diversos servidores voluntários que cobrem a rota. Fica difícil para qualquer sistema saber quem você é, onde você está ou de onde veio, embora seja possível saber o que você está levando consigo.
- Wipe
Wipe é um aplicativo que permite a deleção segura dos dados, permitindo que o usuário defina quais arquivos serão apagados e quantas vezes aqueles blocos do disco, onde os arquivos apagados estavam alocados, serão sobreescritos. Quanto mais vezes se sobreescreve, mais díficil a posterior recuperação dados. Cada operação de sobreescrita deve ser realizada até o final, para que o programa seja completamente eficaz.
- Scrub
Outra possibilidade para realizar o "data wiping", sobreescrevendo os dados deletados com um padrão determinado de informações, que podem ou não ser removidas no final da informação. Se não forem removidas, o perito forense encontrará apenas "lixo digital" nos blocos do disco, sem qualquer ocorrência.
- Steghide
Steghide é um programa de esteganografia que é capaz de esconder dados em vários tipos de arquivos de áudio e imagem. As frequências de som e de cor, respectivamente, não são alteradas tornando o arquivo resistente contra testes estatísticos de primeira ordem. Formatos de arquivos JPEG, BMP, WAV e AU são suportados para uso como arquivo de "cobertura". Não há restrições sobre o formato dos dados secretos. O algoritmo de criptografia padrão é o Rijndael com uma chave de 128 bits de comprimento (que é AES - Advanced Encryption Standard). Se você não confia nesta combinação por qualquer razão, ele lhe permite alterar a combinação modo/algoritmo.
Contramedidas
- Instalar Host IDS nas máquinas;
- Manter as regras de firewall e NIDS bem configuradas;
- Gerencias logs em servidores próprios e bem protegidos;
- Gerenciar permissões em servidores, utilizando ferramentas como o SELinux, por exemplo.
Créditos: brayanpoloni
0 comentários:
Postar um comentário