Logotipo Dicas-L, por Ricardo Burile

Busca
Visite também: UnderLinux ·  VivaOLinux ·  LinuxSecurity ·  NoticiasLinux ·  BR-Linux ·  SoftwareLivre.org ·  [mais]   
 

Você está aqui: Home  → Arquivo Dicas-L

 

Virtualização XEN

Assine a Lista Dicas-L

Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.

Técnicas anti-forense para ocultação de dados - Parte 2

Colaboração: Alexandre Stratikopoulos

Data de Publicação: 06 de Novembro de 2009

Nesta segunda parte do artigo sobre técnicas anti-forense, abordaremos algumas opções para ocultação de dados na Camanda de Hardware.

O disco rígido, independente do funcionamento dos sistemas operacionais, parece ser um bom local para ocultar dados confidenciais. O processo investigativo e de análise de um disco deve iniciar-se com a obtenção de informações sobre sua geometria e configuração, seguida pelo processo de geração da imagem bit-a-bit do dispositivo.

A seguir, abordaremos 2 áreas do disco que podem ser usadas para ocultação de dados.

MBR

Dentre as áreas não acessíveis pelo usuário comum, está a MBR. Como indicado abaixo, é uma prática normal as tabelas de partições (do MBR ou da partição estendidas) começarem na cabeça 0, setor 1 de um cilindro, e o primeiro setor da primeira particão começar na cabeça 1, setor 1 do cilindro.

A consequência dessa prática é a existência de setores não utilizados entre o setor da tabela de partições e início da primeira partição. Esses setores podem ser utilizados para esconder informações, sem qualquer risco de serem detectadas pelo uso normal do sistema de arquivos.

As informações armazenadas em áreas não acessíveis através de um sistema de arquivos podem ser extraídas por meio de raw I/O, utilizando-se, por exemplo, o comando dd e o device node (ou a imagem em arquivo) correspondente ao disco analisado, como ilustrado a seguir: 

  # dd if=/dev/sda of=image.sda bs=512 skip=1 count=62
  62+0 records in
  62+0 records out

No exemplo anterior, o comando dd é usado para extrair o espaço não utilizado entre o MBR (setor 0) e o setor de boot da primeira partição do disco (setor 63). A informação é extraída do disco /dev/sda e é preservada no arquivo binário image.sda. As opções bs, skip e count são utilizadas para instruir o comando dd a copiar 62 setores de 512 bytes, a partir do setor de número 1.

MBR

A Host Protected Area (HPA) é definida como uma área protegida em um disco rígido, sendo introduzida como um recurso opcional no padrão ATA-4 em 1998 e atualmente, a maioria dos discos rígidos suportam esse recurso.

Este recurso é muito usado por fabricantes de notebook para armazenar imagens do sistema atual, bem como ferramentas de recuperação e diagnóstico. Seu principal objetivo é prover a recuperação do sistema a partir de uma imagem padrão. Se a HPA está sendo utilizada para este propósito, é possível que o investigador forense encontre evidências de dados ocultos nesta área.

Na prática, seu disco tem um espaço maior do que a área utilizada pelo sistema operacional e existem algumas ferramentas gratuítas, como hdat2, que são capazes de acessar e modificar o conteúdo da HPA de um disco.

Para verificar se seu disco tem a HPA habilitada, pode-se utilizar a ferramenta hdat2, como no exemplo abaixo:

No exemplo abaixo, um disco que para o sistema operacional é exibido como sendo de 125G, na verdade tem mais 125G alocado para a HPA.

Conclusão

Normalmente, quando a informação é armazenada tanto na HPA, ela não é acessível pelo BIOS, sistema operacional, ou pelo usuário. No entanto, algumas ferramentas podem ser usadas para acessar e modificar seu conteúdo.

Dado o potencial de colocar esses dados em áreas escondidas, esta é uma área de preocupação para os peritos computacionais.

Espero que isso não seja mais "grego" para você!!

Artigo publicado originalmente em http://gregoweblog.blogspot.com/2009/11/tecnicas-anti-forense-para-ocultacao-de.html

Alexandre Stratikopoulos é formado em Ciência da Computação e atualmente faz Mestrado em Engenharia da Computação no Instituto de Pesquisas Tecnológicas de São Paulo IPT/SP. Tendo como principal foco as tecnologias open-source, possui várias certificações em tecnologia, tais como: RHCE, RHCI, RHCX, RHCDS, RHCA, LPI-II, MCP. Atualmente trabalha como Consultor Senior na Red Hat Brasil, onde também atua como Instrutor e Examinador dos cursos e certificações oficiais da Red Hat. Acima de tudo, está sua paixão por tudo que seja relacionado à pátria de seus antepassados: Música, Cultura, História, Dança, Idioma, Churrasco Grego.

Veja a relação completa dos artigos de Alexandre Stratikopoulos

Stumble Upon Digg This Del.icio.us Twitter Recomendar este artigo a um amigo Entre em contato Formato PDF
 Newsfeed RSS
 Formato para impressão
StumbleUpon Digg Del.icio.us Twitter Recomendar Contato PDF RSS Imprimir

Referências Adicionais

Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.

Avalie esta dica

  • Currently 3.67/5
  • 1
  • 2
  • 3
  • 4
  • 5

Avaliação: 3.7 /5 (18 votos)

Opinião dos Leitores

Andre Miguel
07 Dez 2009, 14:34
Artigo perfeito, Alexandre. Não conhecia essas possibilidades de ocultar dados.
Murilo Fujita
08 Nov 2009, 17:23
Além de muito esclarecedor o que é HPA, ainda indicou ferramentas para ter acesso à esta área. Comentar de ambos tornou seu artigo uma boa referência. Parabéns!
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script

Aprenda Inglês em Casa
Método inovador e criativo, para quem tem pouco tempo
Veja os depoimentos de nossos alunos
Faça o download gratuito das duas primeiras lições
Saiba mais

Submarino.com.br

Estratégias de Aprendizado da Língua Inglesa
Assista gratuitamente à palestra Estratégias de Aprendizado da Língua Inglesa