Minicurso-Uniinfo2014

Autor: Paulo Neukamp  //  Categoria: FDTK UbuntuBR

Na semana do dia do professor ocorreu na Unisinos a semana acadêmica dos cursos de informática. Neste evento, como nos anos anteriores, foi ministrado o minicurso de Forense Digital. No link abaixo, você poderá acessar o material utilizado nesta atividade.
Pagina Inicial
Minicurso Forense Digital – 2014

minicurso

Nova WIKI PAGE

Autor: Paulo Neukamp  //  Categoria: FDTK UbuntuBR

Acompanhem, acabei de colocar no ar uma nova WIKI PAGE totalmente restruturada e pronta para receber a colaboração dos amigos, estudiosos e entusiastas da área de Forense Digital FDTK Wiki

Materia na Revista Segurança Digital

Autor: Paulo Neukamp  //  Categoria: FDTK UbuntuBR

No mês de Setembro de 2012 foi publicada uma matéria intitulada " Computação Forense com Software Livre " na revista Segurança Digital, onde o autor Fabrício Cristian Bastoaborda de forma simples a atual e crescente importância da Segurança da Informação. Nesta matéria o autor elenca 8 Distribuições Linux focadas no tema e dentre elas no início da página 13 está em destaque a FDTK.

Aproveito para informar que a nova versão (V4) que esta utilizando o Ubuntu 12.04 como base, esta em fase de finalização e testes devendo ser disponibilizada a comunidade em breve!

Fiquem ligados!

Minicurso Forense Uniinfo 2012

Autor: Paulo Neukamp  //  Categoria: FDTK UbuntuBR

Abaixo segue o link do material utilizado durante o Minicurso de Forense Digital ministrado na Semana acadêmica da Unisinos.

Para baixa a apresentação clique aqui.

 

Pós ICCYBER-2011

Autor: Paulo Neukamp  //  Categoria: FDTK UbuntuBR

Gostaria de compartilhar com todos que o ICCYBER 2011 foi sem dúvida o melhor evento sobre crimes digitais que participei nos últimos anos. A receptividade da organização e os recursos disponíveis aos participantes e palestrantes foram de causar inveja em outros eventos internacionais. Falando sobre a palestra realizada e já notificada em outro post, agradeço a presença maciça dos participantes no evento que segundo estimativas da organização chegou a +- 500 pessoas.

Aos interessados em conhecer os artigos aceitos e apresentados durante os 3 dias do evento acesse aqui

Abaixo uma imagem sobre a palestra.

ICCYBER 2011

Autor: Paulo Neukamp  //  Categoria: FDTK UbuntuBR

 

Gostaria de convidar todos os amantes e também os curiosos de Forense Digital a participar da VIII Conferência Internacional de Perícias em Crimes Cibernéticos ICCYBER 2011 que ocorrerá nos dias 5, 6 e 7 de Outubro em Florianópolis/SC. Acesse a página para fazer seu registro http://www.iccyber.org/2011.

Juntamente com o ICCYBER ocorre o THE INTERNATIONAL CONFERENCE ON FORENSIC COMPUTER SCIENCE (ICoFCS).

O ICoFCS é organizado pela Associação Brasileira de Especialistas em  Alta Tecnologia (www.abeat.org.br) e apoiado pela Universidade de Brasília, por meio do Departamento de Engenharia Elétrica (www.ene.unb.br).


Na edição deste ano estaremos participando o artigo "Ensino da Forense Digital Baseado em Ferramentas Open Source", escrito por Paulo Neukamp, Pamela Silva e Leonardo Lemes.

Contamos com a presença de todos!


A verdadeira História da Distro FDTK

Autor: Paulo Neukamp  //  Categoria: FDTK UbuntuBR

O Foco deste post é demonstrar o caminho percorrido entre uma ideia, passando pela atitude, chegando ao reconhecimento acadêmico e profissional. Demonstrando que uma grande ideia não precisa necessariamente estar ligada a riqueza e fortuna, mas pode estar ligada ao crescimento intelectual de uma região ou de uma nação.

A FDTK surgiu durante a elaboração da monografia da primeira turma do curso de Graduação em Segurança da Informação da Universidade do Vale do Rio dos Sinos – Unisinos situada no Rio Grande do Sul. A proposta inicial deste trabalho era um estudo das técnicas mundialmente utilizadas para a prática Forense Computacional com o intuito de esclarecer e desmistificar esta que é uma área ainda pouco conhecida pelos profissionais ligados a Tecnologia da Informação.

Ao longo das pesquisas ficou claro que toda investigação ou perícia, passava por quatro etapas bem definidas sendo elas Coleta, Exame, Análise e Resultados Obtidos. Entretanto, descrevê-las com riqueza de detalhes era pouco para um trabalho focado em uma área de inovação. Então surge um desafio lançado pelo orientador em um dos tantos encontros ocorridos para a discussão dos estudos, o orientador Prof. Msc. Leonardo Lemes lança um questionamento “Será que é muito difícil fazer uma distribuição Linux focada em Forense Computacional?” e de súbito uma resposta, “aviso em 12 horas se acho possível”, não podendo esquecer que não havia mais muito tempo para a entrega do mesmo.

Após as 12 horas solicitadas, uma mensagem confirmou a aceitação do desafio. A partir daquele momento, além da conclusão da pesquisa inicial, seria necessário despender longas horas de estudo e aplicação para a criação da nova distro. A ideia inicial era criar e customizar os menus de acesso às ferramentas baseado nos estudos realizados ao longo das pesquisas e definir quais ferramentas deferiam fazer parte da distro.

Para este desenvolvimento foram estudadas as 10 distribuições Linux existentes na época, que se auto intitulavam “Distribuição para Forense Computacional”. Ao longo das pesquisas foi possível detectar algumas discrepâncias em relação às ferramentas oferecidas pelas mesmas e também que a maioria delas estava desatualizada a mais de dois anos, o que na segurança é uma eternidade. Tais comprovações possibilitaram também a identificação de três problemas que de certa forma afastam muitos profissionais tanto da Segurança da Informação quanto profissionais de TI de forma geral, o profundo conhecimento de ferramentas, a barreira com o idioma e nenhuma delas sequer fazia menção as etapas envolvidas em uma perícia.

O primeiro estudo mostrou que sim, existia a possibilidade de criação de uma nova distribuição Linux focada em Forense Computacional que atendesse a estes três problemas além de possibilitar sua adoção como ferramenta para o ensino da Forense Computacional em Escolas e Universidades. A possibilidade de utilização como ferramenta de ensino em Escolas e Universidades visa preparar novos profissionais de forma conceitual e prática sobre a importância destas habilidades para o mercado.

O projeto que na etapa de conclusão foi batizado como FDTK-UbuntuBr, primeiramente tratou de identificar as ferramentas Open Source disponíveis e que faziam parte da maioria das distros estudadas. De posse de uma lista com mais de 100 ferramentas, passou-se então para a etapa de escolha da distribuição a ser utilizada como base para o projeto. A escolha da distribuição Linux foi baseada em uma serie de características tais como: regularidade no lançamento de novas versões, facilidade de utilização, disponibilidade de documentação tanto técnicas quanto de utilização e a possibilidade de efetuar as customizações necessárias entre outras.

Diante dos resultados deste levantamento minucioso ficou decidido pela utilização da distribuição Ubuntu, que de certa forma foi um desafio, pois nenhuma das distribuições existentes focadas em Forense Computacional a utilizava como base na época. Entretanto, olhando por outro foco, esta seria a primeira distribuição para Forense Computacional baseada no Ubuntu, o que também seria um diferencial e que mais tarde mostrou ser um marco em relação a distribuições com este foco, pois atualmente todas as principais distribuições mundiais como, por exemplo, Helix utilizam a Ubuntu como base.

Decididas quais ferramentas fariam parte do projeto e qual distribuição Linux seria utilizada como base, outra decisão se mostrou necessária, qual interface gráfica a ser utilizada? Novamente seguindo os conceitos utilizados para a escolha da distro, foi definido que o Gnome seria a melhor opção, pois além de uma série de qualidades esta interface é a mais utilizada no mundo.

Definições concluídas é chega a hora de iniciar os trabalhos. Os trabalhos foram iniciados pela criação dos mais de 100 scripts a serem executados quando uma das opções do novo menu dividido em etapas fosse necessário. Estes scripts são meros apontamentos para ferramentas menos conhecidas, pois as mesmas normalmente não aparecem no menu original das distribuições.

No menu do original do gnome foi inserido um grupo denominado Forense Digital. O grupo Forense Digital por sua vez foi desdobrado em quatro etapas que são coleta dos dados, exame e dos dados, análise das evidências e ToolKits. Além do menu foi necessário ainda escolher um nome para batizar a nova distribuição, pois todo e qualquer produto necessita de uma identidade. Para tanto foi escolhida uma expressão abreviada do Forense Digital Toolkit mais uma menção a distribuição que servia como base ao projeto e o idioma, ficando então FDTK-UbuntuBr.

Após muitas horas de ajustes, recompilações e teste, a versão 1.0 fica pronta a tempo de ser apresentada junto da defesa da monografia que ocorreu em 03/07/2007. Apesar de muito nervosismo e ansiedade tudo transcorreu dentro do esperado e para surpresa após a reunião do colegiado o trabalho recebeu nota máxima “Distinção” por, entre algumas características, tratar de um tema pouco conhecido, deixar um legado para a academia e apontar algumas áreas ainda carentes de pesquisa relacionadas ao tema tratado.

Não poderia deixar de ser mencionado que nos dias que antecederam a banca, surgiu também a ideia de submeter um minicurso para o SBSeg 2007, onde seriam aproveitados os estudos realizados para a construção da monografia e apresentados alguns exemplos práticos da sua utilização. Para surpresa de todos que participaram deste desafio, os professores Evandro, Marlon, Glauco, Leonardo e é claro o aluno Paulo Neukamp o minicurso foi aceito e os primeiros reconhecimentos da academia começaram a aparecer. Toda esta tempestade de boas noticias e reconhecimento fez surgir novas demandas que necessitaram de mais esforços e muitas horas de dedicação e algum investimento financeiro.

Inicialmente não foram feitos investimentos financeiros, pois os mesmos estavam escassos. Um site na web foi construído para divulgação do trabalho e um local para hospedar e distro e imediatamente iniciar o compartilhamento da mesma com a comunidade tanto científica quanto profissional foi providenciado.  Site pronto e a ISO devidamente alocada em dois repositórios (codigolivre.org e Unicamp). Inicia a fase de divulgação da mesma, onde e como fazer isso? O Melhor canal para divulgação para a comunidade Linux era “Dicas-L”, que em 2007 já possuía quase 40.000 assinantes. Uma mensagem escrita pelo grande incentivador do projeto Leonardo Lemes ao amigo e mantenedor da Dicas-L Rubens Queiroz, que fez todo o trabalho de divulgação e segundo as estimativas foram mais de 7.000 downloads somente nos primeiros 15 dias após divulgação através da sua lista.

O ano de 2007 foi repleto de boas notícias, mas a mais importante foi à criação de uma disciplina no curso de Graduação em Segurança da Informação na Unisinos e a adoção da Distro FDTK como plataforma para os estudos dos alunos foi o fechamento de ouro. A adoção da distro na academia trouxe junto uma enxurrada de mensagens com dúvidas e sugestões de alunos, entusiastas da área e de profissionais que passaram a utilizá-la em seu dia-a-dia. Um ano depois é lançada a versão 2.0 com melhorias, atualizações dos pacotes e uma nova identidade gráfica agora com logo marca e detalhes personalizados.

Junto ao lançamento da segunda versão da FDTK, aconteceu um fato inusitado, o contato de um professor de Forense computacional e também perito do estado de Alagoas chamado Aderbal Botelho com a proposta de parceria, pois o mesmo ministraria um curso para uma turma de 20 alunos de um órgão Federal em Brasília. A parceria foi fechada no ato.

Neste período que segue ao lançamento da segunda versão, foram localizadas na web diversas palestras fazendo menção ao projeto e alguns trabalhos acadêmicos que a utilizaram como base em suas pesquisas.

Algum tempo passado e a versão três foi lançada e como não poderia ser diferente, quase 13.000 downloads somente na primeira semana pós-lançamento.

Os trabalhos continuam rumo a FDTK-V4…

 

FDTK-V3 Disponível

Autor: Paulo Neukamp  //  Categoria: FDTK UbuntuBR

Liberada a versão 3 da Distribuição FDTK que estava em testes a mais de 6 meses.

Baixe aqui:

FDTK-V3.0 (ISO) (43552 downloads)

FDTK-V3.0 (MD5) (3115 downloads)

Instalando o SleuthKit 3.0 e Autopsy 2.20 no Fdtk.

Autor: pneukamp Neukamp  //  Categoria: SleuthKit


O SleuthKit (TSK) é uma coleção de ferramentas de linha de comando que permitem que você investigue o conteúdo de sistemas de arquivos.
Obtendo:
O pacote oficial com os fontes pode ser obtido em: http://www.sleuthkit.org/
Os pacotes compilados para o Debian/Ubuntu pode ser obtidos em:
Libtsk3
wget http://aderbal.pycontrole.com.br/forense/libtsk3-3_3.0.0-1_i386.deb
Sleuthkit
wget http://aderbal.pycontrole.com.br/forense/sleuthkit_3.0.0-1_i386.deb
Autopsy 2.20
wget http://aderbal.pycontrole.com.br/forense/autopsy-2.20.tar.bz2
Vamos lá…
Baixe os pacotes e instale-os:
dpkg -i libtsk3-3_3.0.0-1_i386.deb
dpkg -i sleuthkit_3.0.0-1_i386.deb
Copie e extraia autopsy-2.20.tar.bz2 para /usr/local
cp autopsy-2.20.tar.bz2 /usr/local/
cd /usr/local/
tar -jxvf autopsy-2.20.tar.bz2
cd autopsy-2.20/
sudo ./configure

aderbal@fenix:/usr/local/autopsy-2.20$ sudo ./configure

Autopsy Forensic Browser Installation

perl found: /usr/bin/perl (version 5.008008)
autopsy already exists, overwrite? (y/n):

y

Digite y e pressione enter;

A configuration file already exists, overwrite? (y/n):
y

Digite y e pressione enter;

—————————————————————

grep found: /bin/grep
file found: /usr/bin/file
md5 found: /usr/bin/md5sum
sha1 found: /usr/bin/sha1sum

—————————————————————

Searching for Sleuth Kit Installation.
Found in: /usr/bin/
Version 3.0.0 found
Required version found

—————————————————————

The NIST National Software Reference Library (NSRL) contains
hash values of known good and bad files.
http://www.nsrl.nist.gov
n
Caso tenha uma cópia da NSRL digite y e indique o caminho
Projeto Americano que promove a utilização das tecnologias em inquérito de crimes que envolvam computadores.
Caso não tenha digite n e continue a instalação.

—————————————————————

Autopsy saves configuration files, audit logs, and output to the
Evidence Locker directory.

Enter the directory that you want to use for the Evidence Locker:

/home

Indique o diretório onde o autopsy gravará os arquivos gerados pelas investigações.
Baixe o script autopsy.sh
wget http://aderbal.pycontrole.com.br/forense/autopsy.sh
E copie para /usr/local/bin/
Dê permisão para execução
chmod +x /usr/local/bin/autopsy.sh
Agora é ir para o abraço e rodar, sudo autopsy.sh

Pasco – Registro de atividades do IE

Autor: Paulo Neukamp  //  Categoria: Dicas


A ferramenta Pasco, foi concebida por Keith J. Jones em 2003, com o intuito de facilitar a manipulação de arquivos index.dat, que armazenam todas as atividades dos usuários na Internet. Sua função é converter os dados de entrada (hex) em um arquivo de texto delimitado, de modo que o investigador possa importar os resultados para uma planilha de sua escolha e poder analizá-los posteriormente.

Existem duas maneiras de executar a ferramenta Pasco:

Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0x80. Este modo pode recuperar atividades que não foram encontradas no modo normal.

Os parâmetros do comando Pasco são relativamente simples:

# ./pasco

Usage: pasco [options] <filename>

-d Undelete Activity Records

-t Field Delimiter (TAB by default)

O parâmetro "-d" aciona o modo recuperação.

O parâmetro "-t" irá permitir que o investigador mude o delimitador dos campos (o padrão é Ler mais…

3 visitantes online agora
0 visitantes, 3 bots, 0 membros
Máx. de visitantes hoje: 7 às 01:46 am UTC
Este mês: 29 às 08-20-2019 01:59 pm UTC
Este ano: 29 às 08-20-2019 01:59 pm UTC
No total: 29 às 08-20-2019 01:59 pm UTC