Da terra dos moinhos - Linux Magazine Online
Transcrição
Da terra dos moinhos - Linux Magazine Online
Eric Gevaert – Fotolia Explorando a Open Computer Forensics Architecture CAPA Da terra dos moinhos Automatize os processos de análise forense com a arquitetura desenvolvida pela polícia holandesa. por Ralf Spenneberg O crime digital costuma pôr a polícia sob pressão. Ela não tem o pessoal necessário para coletar e analisar os grandes volumes de provas digitais que geralmente acompanham investigações mais profundas. Ao mesmo tempo, provas digitais estão tornando-se progressivamente importantes – dados de telefones celulares e computadores de suspeitos podem fornecer provas circunstanciais e até fatos reais. A polícia holandesa desenvolveu a Open Computer Forensics Architecture (OCFA[1]) como uma ferramenta de código aberto para investigadores criminais profissionais, sendo que as autoridades holandesas utilizam essa plataforma modular em suas próprias investigações. A arquitetura da OCFA é uma combinação de várias ferramentas e bibliotecas forenses e divide o processo de análise em duas partes. Primeiro, os especialistas com conhecimento de análises forenses digitais extraem o conteúdo de discos rígidos e outros dispositivos. Depois, os investigadores criminais usam uma interface web para analisar os dados e buscar provas. Há pacotes da OCFA 2.0.2 para várias distribuições, incluindo formatos RPM e DEB. Nos arquivos compactados disponíveis para download, há ainda pacotes extras e guias de instalação que descrevem os pacotes que requerem instalação manual. A versão 2.1.0 é a mais atual e somente seu código-fonte está disponível. Os criadores da OCFA enxergam o processo de análise como um tipo de Arquivos Hash Desconhecido Dados Compactado Desconhecido Arquivo Descompactado Análise manual Análise do texto Documento do Office Imagens Indexação Conhecido Usuário Figura 1 A OCFA analisa automaticamente a enchente de dados e a coloca à disposição dos investigadores. 44 lavagem digital de dados (Digiwash) e, portanto, instalam as ferramentas no diretório /usr/loca/digiwash/. Um dos maiores obstáculos da análise forense é o grande volume de evidências. Os investigadores enfrentam a tarefa de identificar materiais incriminatórios dentre centenas de gigabytes de dados irrelevantes. Mas pular arquivos e diretórios simplesmente porque seus nomes soam inofensivos não é uma solução plausível. Muitas ferramentas forenses auxiliam o investigador por meio de análises automáticas e caracterização de arquivos identificados. O Digiwash leva essa idéia um passo além, usando o utilitário file para identificar o tipo de arquivo. Depois, ele segue analisando automaticamente tipos específicos de arquivos, economizando um pouco do trabalho sujo para o investigador. A OCFA usa o Lucene para indexar arquivos do Microsoft Word e outros documentos do MS Office. O texto puro é extraído com o antiword. Arquivos PDF são convertidos com ajuda do pdftotext, e o mailwash extrai arquivos e metadados de caixas de email. Os desenvolvedores até criaram uma forma de capturar as informações de chaveiros PGP, mapeando as IDs das chaves de emails assinados e criptografados a nomes em texto limpo. A OCFA também agrupa fotos e gera miniaturas. A plataforma disseca automaticamente arquivos zipados e analisa seu http://www.linuxmagazine.com.br OCFA | CAPA conteúdo. Dessa forma, ela analisa recursivamente todos os dados, colocando-os à disposição dos investigadores (figura 1). Impressões digitais Para reduzir o volume de dados a serem analisados, os investigadores forenses podem integrar bancos de dados de hashes de arquivos conhecidos. Os bancos contêm checksums MD5 ou SHA1 de arquivos que devem perfeitamente ser ignorados. Por exemplo, todos os arquivos inalterados que pertençam ao sistema operacional são irrelevantes, apesar de os investigadores se interessarem por qualquer modificação feita por cavalos de tróia. Bancos de dados de checksums de arquivos conhecidos estão disponíveis para download gratuito no National Institute for Standards and Technology (NIST)[2]. Outras ferramentas forenses, como o Autopsy[3], também se baseiam na National Software Reference Library (NSRL). A biblioteca está disponível em formato zipado como uma coleção de quatro imagens de CD. Um script em Perl presente no pacote da OCFA faz referência aos arquivos ISO para calcular seus próprios conjuntos de hashes, que o administrador deve copiar em seguida para o diretório digiwash/. O processo de conversão leva algum tempo. Arquitetura O roteador é uma parte central da arquitetura OCFA, pois é responsável pelo processamento recursivo de arquivos, que ele analisa utilizando softwares externos antes de retornar para o processo de análise os arquivos que o processo encontrar (figura 2). Um relay anycast lida com as comunicações entre os módulos individuais. O relay coordena o envio de mensagens e também lida com o balanceamento de carga. Essa técnica Linux Magazine #46 | Setembro de 2008 permite que os investigadores rodem múltiplas instâncias de um módulo em um ambiente distribuído em vários computadores; em outras palavras, a OCFA suporta a execução em clusters. O framework OCFA pode usar outros pacotes externos de software caso necessário. Um patch permite que usuários integrem ainda o Sleuth Kit[4] e o Scalpel[5]. Interfaces misturadas Roteador Emails Compactados Documentos do Office Figura 2 O roteador chama os módulos de acordo com o formato do arquivo, retornando os arquivos Dados recuperados pela encontrados. OCFA ficam disponíveis para o investigador por meio da linha de comando. Ele precisa de privilégios de root para iniciar uma análise de caso, pois é necessário reiniciar o servidor web Apa- A complexa e demorada instalação che para isso. Do ponto de vista do da OCFA vale a pena em ambienservidor web, cada novo caso é um tes que suportem projetos de anáVirtualHost. O investigador utiliza lise forense grandes e complexos então o Apache para acessar os da- – e também nos casos em que as dos extraídos. tarefas forenses e de investigação A interface também informa ao sejam facilmente separáveis. Note, investigador se a extração dos dados contudo, que as interfaces gráficas está completa. A interface web exibe espartanas da OCFA não oferecem a as filas atuais e seus respectivos es- conveniência de outras ferramentas tados. Em outras palavras, a OCFA dessa área. ■ de fato automatiza a comunicação entre o investigador e o especialista forense. Mais informações A polícia holandesa desenvolveu [1] OCFA: http://ocfa. também um programa para Winsourceforge.net dows, para uso interno. O programa, chamado Washbrush, analisa [2] NIST e NSRL: http:// caixas de email do Outlook e Ouwww.nsrl.nist.gov tlook Express e passa os resultados para o Digiwash. No entanto, esse [3] Autopsy: http://www. programa só está disponível para as sleuthkit.org/autopsy/ autoridades holandesas. [4] Sleuth Kit: http://www. Os policiais também estão criansleuthkit.org/ do outros módulos OCFA e uma interface mais moderna. O software [5] Scalpel: http://www. não adotará a licença GPL, mas será digitalforensicssolu disponibilizado sob um acordo de tions.com/Scalpel/ não divulgação (NDA). Processamento em massa 45