MACtimes: Conceito e Uso

Publicado em por Thiago Leite Postado em Perícia Forense, Software Livre

Olá pessoal! Hoje irei falar de um assunto um pouco diferente do que foi tratado em posts anteriores. Um campo em que me interesso muito é a Perícia Forense, principalmente quando aplicada utilizando Softwares Livre. Irei iniciar hoje outra série de posts com o objetivo de mostrar o uso de diversas ferramentas livres para a realização da Perícia Forense.

Mas, onde surgiu esse meu interesse pela prática forense? Surgiu durante minha graduação quando quis realizar um trabalho de conclusão de curso que tratasse de segurança utilizando ferramentas livres. Porém, já existem muitos (bons) trabalhos idênticos a esse por aí hoje? Sendo assim, com a ajuda de meu orientador, procurei algo diferente: A perícia forense. E realmente, é algo realmente muito fascinante! Vamos falar do tema MACtimes.

Em uma investigação forense, o dado bruto muitas vezes não nos fornece nenhuma informação sobre algum fato ocorrido. Porém, a ordenação dos dados, de acordo uma linha de tempo, pode fazer com que o conjunto possua alguma informação. O uso dos MACtimes em uma investigação é algo simples de entender e utilizar. MACtimes é uma maneira abreviada de nos referirmos aos três atributos que compõem um arquivo em ambientes Unix-like: tempo de modificação (mtime), tempo de acesso (atime) e tempo de criação (ctime). Note que os atributos registram apenas o último momento que algo ocorreu. A recuperação de informações anteriores só é possível, na maioria dos casos, em sistemas de arquivos com journal. Abaixo uma descrição de cada um dos atributos.

  • atime – último momento em que ocorreu acesso ao arquivo. Exemplo: cat arquivo
  • ctime – último momento em que ocorreram modificações no conteúdo e meta-informações de um arquivo. Exemplo: chown usuario arquivo
  • mtime – último momento em que ocorreu alguma modificação no conteúdo do arquivo. Exemplo: echo ” ” >> arquivo

Ações como a execução de um arquivo resultam na mudança do atime também, pois, para que o mesmo seja executado é necessária a leitura de seu conteúdo. Outros procedimentos podem causar a modificação de mais de um atributo, como a sobrescrita de um arquivo por outro, onde o conteúdo e as meta-informações são modificados.

Existe a ferramenta mactime, parte do conjunto de aplicações forenses sleuthkit, que possui a capacidade de construir uma linha do tempo de acordo com uma base de dados criada previamente pela ferramenta mac-robber. Essa linha do tempo pode ser extremamente útil para perceber que eventos isolados podem ter correspondência, e assim poder reconstruir o fato ocorrido. Vamos fazer um exemplo prático de uso dessas ferramentas.

Em nossa situação hipotética, queremos analisar um diretório específico de nosso sistema a procura de estranhos fatos que lá podem ter ocorrido. Para tanto, é necessário primeiramente a criação da base dos dados em um formato legível para o mactime. Para tanto, o comando abaixo resolve.

# mac-robber /dir > dir.mactime

Após isso, podemos fazer uso da ferramenta mactime.

# mactime -b dir.mactime

Eis que é exibida uma saída formatada de fácil análise para o perito. Vamos considerar para nosso exemplo a saída editada abaixo.

hora                       tamanho  MAC permissão UID GID contador nome do arquivo
Wed Jun 27 2007 15:17:02     4096   m.c drwxr-xr-x 0   0  1102686  /usr/bin/.x
                            20480   .a. -rw-r--r-- 0   0  1102687  /usr/bin/.x/back.tar.gz
Wed Jun 27 2007 15:17:16    10240   ..c -r-x--x--x 0   0  1102688  /usr/bin/.x/backdoor.pl
Wed Jun 27 2007 15:17:22     4096   .a. drwxr-xr-x 0   0  1102686  /usr/bin/.x
                            10240   .a. -r-x--x--x 0   0  1102688  /usr/bin/.x/backdoor.pl

Os registros acima indicam uma ação suspeita na máquina analisada. Diretórios com nomes incomuns podem ser um forte indicador da ação de suspeitos. De acordo com a análise acima, podemos concluir que houve a descompactação de um arquivo chamado backdoor.pl, que como o próprio nome nesse exemplo indica, pode ser um backdoor escrito em Perl. O suspeito em questão, por fim, executou o arquivo.

Em um ambiente real, esses logs podem ajudar muito em uma investigação. Porém, os MACtimes podem ser facilmente modificados, de maneira a poder criar falsos positivos pelo criminoso. O uso simples do comando touch ou apenas realizar o backup de todos os dados antes da investigação poderia por a perder informações preciosas! Não teríamos muitos problemas também para modificar os valores dos atributos MAC para os valores que quiséssemos. Durante uma investigação é importante seguir a ordem de volatividade, ou também chamada OOV (Order Of Volatility). Em uma próxima oportunidade explicarei o conceito e sua importância em uma perícia forense.

Vou ficando por aqui! Qualquer dúvida, é só levantar o braço e mandar o comentário!

Até mais! 😀

2 comentários sobre “MACtimes: Conceito e Uso

  1. Pingback: Ordem de Volatividade em Investigações « Where I finally can be calm…
  2. Responder
    Guilherme Zanini disse:

    Olá, parabéns pelo tópico, no entanto, faltou citar a fonte de algumas informações, pro pessoal poder se aprofundar mais. Por exemplo:
    “O uso dos MACtimes em uma investigação é algo simples de entender e utilizar.” é uma frase do Dan Farmer e Wietse Venema, do Livro Perícia Forense Computacional, teoria e prática aplicada, pág. 16. Assim, todos teremos evidências da base teórica que está sendo desenvolvida.

    Abraços.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *