SlideShare una empresa de Scribd logo

Apresentação SegInfo

T
TechBiz Forense Digital

-‐ Não cifra -‐ Inicia contador em 0 -‐ Registra data/hora da última execução -‐ Conta execuções separadamente por usuário Novas informações: -‐ Última data/hora de execução -‐ Contagem por usuário -‐ Sem cifração Fonte: http://www.forensicswiki.org/wiki/UserAssist_Registry_Keys Novidades Tecnológicas: Novos sistemas de arquivos ex 2 (ext4) -‐ ext4 introduzido no Linux Kernel 2.6.28 (dez/2008)

TecnologíaEmpresariales
1 de 64
Descargar para leer sin conexión
Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süffert http://blog.suffert.com
Equipamentos  de  Laboratórios  de  Perícia    Computação  Forense  é  só  isto?   Softwares  de     Duplicadores  de  Mídias   Armazenamento  Portátil     Análise  Pericial       Computadores     Especializados   Mobile  Forensics   Aquisição  em  campo       Bloqueadores  de  Escrita  
Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital: Perícia  Criminal   Segurança  da  Inf.   Auditoria   Anti-­‐Fraude   Inteligência   Fiscalização   Jurídico   Defesa  Cibernética   Compliance  
Algumas modalidades de Forense Computacional Forense  Post-­‐ Forense  de  Rede   Forense  Remota   Forense   Mortem   Redes   Cabeadas   Conexão  online   Colaborativa   HDs,  CDs,  Pen-­‐ Redes   Sem  Fio   Silenciosa   Múltiplas   Drives,  Disquetes,   Reconstrução   de   Stealth   Investigações     etc   Sessões   Múltiplos   Capacidade   de   Telefones,  GPS,   Investigadores   Geração  de   obtenção  de   Tablets,  etc   Interface  de   Metadados     dados  voláteis   Investigação   Possibilidade  de   Amigável   Remediação   Grupo  Especialista  
Taxonomia:  Evento>Ataque>Incidente>Crime   INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não Objetivos Agente Ferramentas Falha Ação Alvo autorizado Crime
Dinâmicas  de       Resultado     Agente   Ferramentas   Falha   Ação   Alvo   Objetivos   não  autorizado   Hackers Ataque Físico Design Probe   Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan   Processos   Obtenção Ganho     Terroristas Eng. Social Configuração Flood   Dados informação Financeiro   confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass   Computadores Spoof   Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia Recursos John  D.  Howard  e  Thomas  A.  Longstaff   Roubo A  Common   Language   for  Computer   Security   Incidents   Modificação http://www.cert.org/research/taxonomy_988667.pdf     Remoção
Atribuição  de  Autoria/Responsabilidade      Muito  além  da  identificação  de  endereços   IP   1)Timing,   11)  Ferramentas,   2)  Vítimas/Alvos,   12)  Mecanismo  de  Persistência,   3)  Origem,   13)  Método  de  Propagação,   4)  Mecanismo  de  Entrada,   14)  Dados  Alvo,   5)  Vulnerabilidade  ou  Exposição,   15)  Compactação  de  Dados,   6)  Exploit  ou  Payload,   16)  Modo  de  Extrafiltração,   7)  Weaponization,   17)  Atribuição  Externa,   8)  Atividade  pós-­‐exploração,   18)  Grau  de  Profissionalismo,     9)  Método  de  Comando  e  Controle,   19)  Variedade  de  Técnicas  utilizadas,     10)  Servidores  de  Comando  e  Controle,     20)  Escopo   (R.  Beitlich,  M.  Cloppert)   Agente Identificação  das  consequências  do  ataque  pode  ser  mais  fácil  que  detectar  o  ataque  
Diferentes  Níveis  de  Importância  Estratégica   Diferentes  Categorias  de  Agentes  e  Objetivos   diagrama:  -­  David  Ross    GFIRST/Mandiant  
Processos de Investigação Digital
Exemplo  de  Processo  de  Investigação    
CheckList de Abertura Requisitar Autorização Designar responsáveis Preservação e Coleta Acompanhamento Efetuar Inventário Enviar para Análise
Tratamento  >  Coleta  Presencial  
Tratamento  >  Coleta  Presencial  
Tratamento  >  Coleta  Presencial   PADRONIZAR o processamento, gerando CONTROLE MINIMIZAR ao máximo a PERDA de dados EVITAR a CONTAMINAÇÃO de dados / informações
Tratamento  >  Coleta  Remota  
INFORMAÇÃO  sobre   as   FERRAMENTAS   utilizadas     INFORMAÇÕES  sobre   a  REDE     INFORMAÇÕES  sobre   a   AQUISIÇÃO     INFORMAÇÕES  sobre   ARQUIVAMENTO    
Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup) Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de Emails Requisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
Resposta  a  Incidentes  e  Forense   Computacional    Abordagem  Híbrida      
Cyber  Segurança    uma  crise  de  priorização   NCO/NITRD   National  Coordination  Office  /  Networking  and  Information  Technology  Research  and  Development  
Priorizações  Recomendadas  pelo  Comitê  de  T.I.  do  Gov.  Americano   NCO/NITRD.GOV  -­  Cyber  Security  A  Crisis  of  Prioritization:  pg  43  
Pessoas:  A  crise  de  capital  humano  em  CiberSegurança  
Alguns Desafios em Perícia Computacional e Resposta a Incidentes 1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise 7 melhorias na taxonomia e compartilhamento de dados
Desafios Tecnológicos 1 aumento do tamanho das mídias (HDs) a serem analisadas: -‐ Lei de Moore -‐> número de transistores de chips dobram a cada 18 meses -‐ Lei de Kryder -‐> discos rígidos dobram de tamanho a cada 18 a 24 meses -‐ velocidade de acesso à disco (I/O) não cresce tão rapidamente.. -‐ maioria dos hds possuem mais de um milhão de itens -‐ indexação, carving, análise de assinatura
1 aumento do tamanho das mídias (HDs) Fonte:  Han-­‐Kwang   Nienhuys    http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg  
1 aumento do tamanho das mídias (HDs)     Discos:  aumento  de  +576%.   Estações  de  Trabalho:  +29,7%   PDA/Blackberry/Assemelhados:  +859%    
Motivadores de Avanços Tecnológicos 1 aumento do tamanho das mídias (HDs) 2 aumento das fontes de dados a serem analisadas: -‐ Análise de discos de Estado Sólido (SSD) -‐ Análise de mídias removíveis -‐ Análise de computadores remotos -‐ Análise de memória -‐ Análise de sessões de rede -‐ Análise de registros/logs/BD -‐ Análise de dispositivos móveis (celulares, tablets, gps) -‐ outros: ebook readers, mp3 players, GPS,video-‐games, TVs, ...
2 aumento das fontes de dados     +    d    a    d    o    s                                                                      +    c    o    m    p    l    e    x    i    d    a    d    e   HD:       Bit     Byte       Setor       Cluster         Arquivo       1   8bits   512B   8  setores  /  4kb   1-­‐n  clusters   Memória:     Bit     Byte     Página        Thread       Processo         1   8bits    4kB      n  páginas     n  threads     Rede:       Bit   Byte     Pacote       Stream     Sessão         1   8bits    n  bytes   n  pacotes     n  streams    
Outras Fontes de Dados: Análise de Memória ex 1 (pdgmail.py)
Outras Fontes de Dados: Análise de Memória ex 2 (Ftk 3.x)
Outras Fontes de Dados: Análise de Memória ex 3 (HBGary Responder)
Outras Fontes de Dados Análise de Sessões de Rede
Outras Fontes de Dados Análise de Sessões de Rede ex. 4
Motivadores de Avanços Tecnológicos 1 aumento do tamanho das mídias (HDs) a serem analisadas: 2 aumento das fontes de dados a serem analisadas: 3 necessidade de adequação diante de novidades tecnológicas -‐ Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. -‐ Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) -‐ Mobile Forensics ex: variedade de S.Os, aplicações e conectividade -‐ Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnológicas: Novos sistemas operacionais ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP UserAssist: Cifra -‐ ROT13 (A-‐>N, B-‐>O, ...) Inicia o contador em 5. Windows 7/2008 beta UserAssist: Cifra Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 UserAssist: Cifra ROT13 / inicia o contador em 0.
Novidades Tecnológicas: Novos sistemas de arquivo ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) -‐ até ext3 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-‐9) e + 2 bits foram adicionados ao campo dos segundos do Suporte completo a ext4: FTK 3.3 e Encase 7
Motivadores de Avanços Tecnológicos 1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas 4 melhorias de performance de ferramentas: -‐ Uso de Banco de Dados como BackEnd: ECC -‐ MSSQL/ FTK 3.x Oracle -‐ Aquisição Remota: dados voláteis, memória, discos, artefatos específicos -‐ Processamento Distribuído: DNA -‐> FTK 3.x -‐> AD LAB -‐ Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) -‐ Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
4 -‐ Melhoria de Performance BackEnd Oracle / Processamento Distribuído AD LAB
4 -‐ Melhoria de Performance CriptoAnálise FRED-‐SC + EDPR -‐ CUDA
Avanços Tecnológicos -‐ Triagem 1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas 4 melhorias de performance de ferramentas: 5 melhor triagem antes da coleta de dados -‐ Remota FTK 3.x/AD Enterprise, Encase FIM/Platform -‐ Na ponta Encase Portable -‐ Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
5 Melhoria na Triagem: ex 1 em campo EnCase Portable USB 4GB PenDrive/Disco 1 Gb-­ > 2Tb 4-­Port USB Dongle / (Security key) Hub
5 Melhoria na Triagem: ex 2 em campo
5 Melhoria na Triagem: ex 3 remota Servlets Installed on Computers
Forense Remota / Remediação Auditoria   Logical   ResultLog   Evidence  File   Quem? Garantia de Existência ou não integridade de arquivos Quando? Materialização de responsivos Onde? prova Tamanho reduzido
Avanços Tecnológicos 1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise -‐ hashing: MD5/SHA1 -‐> ssdeep/fuzzy -‐> entropy -‐> file block hash analysis -‐ indexação de textos em imagens (OCR); Novos algorítimos de análise -‐ Super Timelines (Enscripts + log2timeline Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
Evolução de Técnicas de Análise -‐ Hashes Uso de Hashes Criptográficos -‐ Arquivos de Evidência .e01 vs .dd: -‐ E0x1,L0x1: bzip, AES-‐256, MD5+SHA1 -‐ arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) -‐ : Fuzzy hashing | File block hash analysis | Entropy
Fuzzy Hashing -‐ ssdeep Jesse Kornblum -‐ http://ssdeep.sourceforge.net -‐ FTK 3.x context triggered piecewise hashes (CTPH)
Hashes -‐ Entropy
File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657    
Algorítimos de Comparação de Vídeos Identificação/categorização  de  vídeos   tolerante  a  mudança  de:       Formato;   Cor;  Brilho;  Contraste;   Compressão;     Espelhamento;   Cortes;   Distorção;   Mudança  de  proporção;   Edições  (~  2  seg)    
Avanços Tecnológicos 1 aumento do tamanho das mídias (HDs) 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise 7 melhorias na taxonomia e compartilhamento de dados -‐ Taxonomia Incidentes -‐ Atribuição de Origem ( Táticas, Técnicas e Procedimentos) -‐ Indicadores de Comprometimento -‐ OpenIOC -‐ Framework de Compartilhamento de dados -‐ VerIS
Utilização do compartilhamento de dados Análise de Sessões de Rede ex. ?
Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications Applications Firewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação  de  Milhões  de  Eventos  Diários  
Monitoração de Infra-‐Estruturas Críticas (PLCs) 54  
15/08/201 Inteligência para Investigações e apoio à Decisão 1   55  
Foco  de  Atenção:  Ênfase  na  *Ameaça*   -­‐ Kill  Chain    sequência  de  eventos  para  uma  ameaça  afetar  um  alvo:   -­‐ Fórmula  Tradicional  de  Risco  =  Ameaça  x  Vulnerabilidade  x  Impacto   TBS    Time  Based  Security:  Pt  ~  Dt  +  Rt       Proteção  =  Tempo  Detecção  +  Tempo  Reação  suficientes   Exposição  =  Tempo  Detecção  +  Tempo  Reação  tardios     Conceito  TBS::   Winn  Schwartau   diagramas:  Mike  Cloppert    Lockheed  Martin  
Evolução  de  um  Ataque  Temporalmente  
Análise  de  Incidentes  -­‐  TTPs     Táticas,  Técnicas,  e  Procedimentos   Mike  Cloppert    Lockheed  Martin  
Indicators  of  Compromise  -­‐  OpenIOC   http://www.mandiant.com/uploads/presentations/SOH_052010.pdf  
Táticas, Técnicas e Procedimentos VerIS Incident Sharing -‐ Framework http://securityblog.verizonbusiness.com/wp-­‐content/uploads/2010/03/VerIS_Framework_Beta_1.pdf  
Alguns casos 2011 Heterogeneidade de Casos: EBCDIC 3270 rede (fraude externa) Solaris adm (sabotagem) Java boleto (fraude interna) Invasão de site / vazamento de dados Clipper (fraude interna) MSDOS 16bit -‐ Video poker (Forças da Lei) Sistema Web .NET + SQL Server (Fraude Votação)
Maturidade em Investigação Computacional
Desenvolvimento e Integração de Tecnologia
Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com

Recomendados

201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...Sandro Suffert
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaTechBiz Forense Digital
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...FecomercioSP
 
Portfolio
PortfolioPortfolio
Portfolioadrigobbo
 
Acesso à internet de modo seguro
Acesso à internet de modo seguroAcesso à internet de modo seguro
Acesso à internet de modo segurowelber.a
 
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Diogenes Freitas
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 

Recomendados

201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...Sandro Suffert
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaTechBiz Forense Digital
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...FecomercioSP
 
Portfolio
PortfolioPortfolio
Portfolioadrigobbo
 
Acesso à internet de modo seguro
Acesso à internet de modo seguroAcesso à internet de modo seguro
Acesso à internet de modo segurowelber.a
 
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Diogenes Freitas
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 
Insa cyber intelligence_2011-1
Insa cyber intelligence_2011-1Insa cyber intelligence_2011-1
Insa cyber intelligence_2011-1TechBiz Forense Digital
 
NetWitness
NetWitnessNetWitness
NetWitnessTechBiz Forense Digital
 
Casos de sucesso
Casos de sucessoCasos de sucesso
Casos de sucessoTechBiz Forense Digital
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
Cases forense[2]
Cases forense[2]Cases forense[2]
Cases forense[2]TechBiz Forense Digital
 
Avanços tecnológicos em perícia computacional e resposta a incidentes
Avanços tecnológicos em perícia computacional e resposta a incidentesAvanços tecnológicos em perícia computacional e resposta a incidentes
Avanços tecnológicos em perícia computacional e resposta a incidentesTechBiz Forense Digital
 
Palantir
PalantirPalantir
PalantirTechBiz Forense Digital
 
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...TechBiz Forense Digital
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?SegInfo
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Sandro Suffert
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011Rodrigo Antao
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Rute1993
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Forense computacional - Estudos Praticos
Forense computacional - Estudos PraticosForense computacional - Estudos Praticos
Forense computacional - Estudos PraticosData Security
 
Pentest
Pentest Pentest
Pentest Rodrigo Piovesana
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de RedesVaine Luiz Barreira, MBA
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Notas sobre Segurança de Software
Notas sobre Segurança de SoftwareNotas sobre Segurança de Software
Notas sobre Segurança de SoftwareOrlando Junior
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 

Más contenido relacionado

Destacado

10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
Avanços tecnológicos em perícia computacional e resposta a incidentes
Avanços tecnológicos em perícia computacional e resposta a incidentesAvanços tecnológicos em perícia computacional e resposta a incidentes
Avanços tecnológicos em perícia computacional e resposta a incidentesTechBiz Forense Digital
 
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...TechBiz Forense Digital
 

Destacado (8)

Insa cyber intelligence_2011-1
Insa cyber intelligence_2011-1Insa cyber intelligence_2011-1
Insa cyber intelligence_2011-1
 
NetWitness
NetWitnessNetWitness
NetWitness
 
Casos de sucesso
Casos de sucessoCasos de sucesso
Casos de sucesso
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter
 
Cases forense[2]
Cases forense[2]Cases forense[2]
Cases forense[2]
 
Avanços tecnológicos em perícia computacional e resposta a incidentes
Avanços tecnológicos em perícia computacional e resposta a incidentesAvanços tecnológicos em perícia computacional e resposta a incidentes
Avanços tecnológicos em perícia computacional e resposta a incidentes
 
Palantir
PalantirPalantir
Palantir
 
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
 

Similar a Apresentação SegInfo

"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?SegInfo
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Sandro Suffert
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011Rodrigo Antao
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Rute1993
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Forense computacional - Estudos Praticos
Forense computacional - Estudos PraticosForense computacional - Estudos Praticos
Forense computacional - Estudos PraticosData Security
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Notas sobre Segurança de Software
Notas sobre Segurança de SoftwareNotas sobre Segurança de Software
Notas sobre Segurança de SoftwareOrlando Junior
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasLuiz Sales Rabelo
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 

Similar a Apresentação SegInfo (20)

"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
 
Pentest cool
Pentest coolPentest cool
Pentest cool
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
Forense computacional - Estudos Praticos
Forense computacional - Estudos PraticosForense computacional - Estudos Praticos
Forense computacional - Estudos Praticos
 
Pentest
Pentest Pentest
Pentest
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de Redes
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Notas sobre Segurança de Software
Notas sobre Segurança de SoftwareNotas sobre Segurança de Software
Notas sobre Segurança de Software
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informação
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
 
Seminário - Segurança da informação
Seminário - Segurança da informaçãoSeminário - Segurança da informação
Seminário - Segurança da informação
 
Seminario Seguranca da Informação
Seminario Seguranca da InformaçãoSeminario Seguranca da Informação
Seminario Seguranca da Informação
 

Más de TechBiz Forense Digital

Ata srp 015 2010 v1 - marinha - netwitness
Ata srp 015 2010 v1 - marinha - netwitnessAta srp 015 2010 v1 - marinha - netwitness
Ata srp 015 2010 v1 - marinha - netwitnessTechBiz Forense Digital
 
VeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence ServicesVeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence ServicesTechBiz Forense Digital
 
Verisign iDefense Security Intelligence Services
Verisign iDefense Security Intelligence ServicesVerisign iDefense Security Intelligence Services
Verisign iDefense Security Intelligence ServicesTechBiz Forense Digital
 
VeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence ServicesVeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence ServicesTechBiz Forense Digital
 
Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)TechBiz Forense Digital
 
C:\Fakepath-6 09 10 Financial Fraud Webinar
C:\Fakepath-6 09 10 Financial Fraud WebinarC:\Fakepath-6 09 10 Financial Fraud Webinar
C:\Fakepath-6 09 10 Financial Fraud WebinarTechBiz Forense Digital
 
Manual de aplicação de marca - TechBiz Forense Digital
Manual de aplicação de marca - TechBiz Forense DigitalManual de aplicação de marca - TechBiz Forense Digital
Manual de aplicação de marca - TechBiz Forense DigitalTechBiz Forense Digital
 

Más de TechBiz Forense Digital (16)

Online fraud report_0611[1]
Online fraud report_0611[1]Online fraud report_0611[1]
Online fraud report_0611[1]
 
Ata srp 015 2010 v1 - marinha - netwitness
Ata srp 015 2010 v1 - marinha - netwitnessAta srp 015 2010 v1 - marinha - netwitness
Ata srp 015 2010 v1 - marinha - netwitness
 
Road Show - Arcsight ETRM
Road Show - Arcsight ETRMRoad Show - Arcsight ETRM
Road Show - Arcsight ETRM
 
VeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence ServicesVeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence Services
 
CyberSecurity
CyberSecurityCyberSecurity
CyberSecurity
 
Verisign iDefense Security Intelligence Services
Verisign iDefense Security Intelligence ServicesVerisign iDefense Security Intelligence Services
Verisign iDefense Security Intelligence Services
 
VeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence ServicesVeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence Services
 
Access data
Access dataAccess data
Access data
 
01 11- alexandre atheniense
01 11- alexandre atheniense01 11- alexandre atheniense
01 11- alexandre atheniense
 
16 03 - institucional
16 03 - institucional16 03 - institucional
16 03 - institucional
 
Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)
 
C:\Fakepath-6 09 10 Financial Fraud Webinar
C:\Fakepath-6 09 10 Financial Fraud WebinarC:\Fakepath-6 09 10 Financial Fraud Webinar
C:\Fakepath-6 09 10 Financial Fraud Webinar
 
Cybersecurity - Sam Maccherola
Cybersecurity - Sam MaccherolaCybersecurity - Sam Maccherola
Cybersecurity - Sam Maccherola
 
Cybersecurity - Jim Butterworth
Cybersecurity - Jim ButterworthCybersecurity - Jim Butterworth
Cybersecurity - Jim Butterworth
 
Manual de aplicação de marca - TechBiz Forense Digital
Manual de aplicação de marca - TechBiz Forense DigitalManual de aplicação de marca - TechBiz Forense Digital
Manual de aplicação de marca - TechBiz Forense Digital
 
Institucional TechBiz Forense Digital
Institucional TechBiz Forense DigitalInstitucional TechBiz Forense Digital
Institucional TechBiz Forense Digital
 

Apresentação SegInfo

  • 1. Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süffert http://blog.suffert.com
  • 2. Equipamentos  de  Laboratórios  de  Perícia    Computação  Forense  é  só  isto?   Softwares  de     Duplicadores  de  Mídias   Armazenamento  Portátil     Análise  Pericial       Computadores     Especializados   Mobile  Forensics   Aquisição  em  campo       Bloqueadores  de  Escrita  
  • 3. Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital: Perícia  Criminal   Segurança  da  Inf.   Auditoria   Anti-­‐Fraude   Inteligência   Fiscalização   Jurídico   Defesa  Cibernética   Compliance  
  • 4. Algumas modalidades de Forense Computacional Forense  Post-­‐ Forense  de  Rede   Forense  Remota   Forense   Mortem   Redes   Cabeadas   Conexão  online   Colaborativa   HDs,  CDs,  Pen-­‐ Redes   Sem  Fio   Silenciosa   Múltiplas   Drives,  Disquetes,   Reconstrução   de   Stealth   Investigações     etc   Sessões   Múltiplos   Capacidade   de   Telefones,  GPS,   Investigadores   Geração  de   obtenção  de   Tablets,  etc   Interface  de   Metadados     dados  voláteis   Investigação   Possibilidade  de   Amigável   Remediação   Grupo  Especialista  
  • 5. Taxonomia:  Evento>Ataque>Incidente>Crime   INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não Objetivos Agente Ferramentas Falha Ação Alvo autorizado Crime
  • 6. Dinâmicas  de       Resultado     Agente   Ferramentas   Falha   Ação   Alvo   Objetivos   não  autorizado   Hackers Ataque Físico Design Probe   Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan   Processos   Obtenção Ganho     Terroristas Eng. Social Configuração Flood   Dados informação Financeiro   confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass   Computadores Spoof   Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia Recursos John  D.  Howard  e  Thomas  A.  Longstaff   Roubo A  Common   Language   for  Computer   Security   Incidents   Modificação http://www.cert.org/research/taxonomy_988667.pdf     Remoção
  • 7. Atribuição  de  Autoria/Responsabilidade      Muito  além  da  identificação  de  endereços   IP   1)Timing,   11)  Ferramentas,   2)  Vítimas/Alvos,   12)  Mecanismo  de  Persistência,   3)  Origem,   13)  Método  de  Propagação,   4)  Mecanismo  de  Entrada,   14)  Dados  Alvo,   5)  Vulnerabilidade  ou  Exposição,   15)  Compactação  de  Dados,   6)  Exploit  ou  Payload,   16)  Modo  de  Extrafiltração,   7)  Weaponization,   17)  Atribuição  Externa,   8)  Atividade  pós-­‐exploração,   18)  Grau  de  Profissionalismo,     9)  Método  de  Comando  e  Controle,   19)  Variedade  de  Técnicas  utilizadas,     10)  Servidores  de  Comando  e  Controle,     20)  Escopo   (R.  Beitlich,  M.  Cloppert)   Agente Identificação  das  consequências  do  ataque  pode  ser  mais  fácil  que  detectar  o  ataque  
  • 8. Diferentes  Níveis  de  Importância  Estratégica   Diferentes  Categorias  de  Agentes  e  Objetivos   diagrama:  -­  David  Ross    GFIRST/Mandiant  
  • 10. Exemplo  de  Processo  de  Investigação    
  • 11. CheckList de Abertura Requisitar Autorização Designar responsáveis Preservação e Coleta Acompanhamento Efetuar Inventário Enviar para Análise
  • 12. Tratamento  >  Coleta  Presencial  
  • 13. Tratamento  >  Coleta  Presencial  
  • 14. Tratamento  >  Coleta  Presencial   PADRONIZAR o processamento, gerando CONTROLE MINIMIZAR ao máximo a PERDA de dados EVITAR a CONTAMINAÇÃO de dados / informações
  • 15. Tratamento  >  Coleta  Remota  
  • 16. INFORMAÇÃO  sobre   as   FERRAMENTAS   utilizadas     INFORMAÇÕES  sobre   a  REDE     INFORMAÇÕES  sobre   a   AQUISIÇÃO     INFORMAÇÕES  sobre   ARQUIVAMENTO    
  • 17. Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup) Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de Emails Requisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
  • 18. Resposta  a  Incidentes  e  Forense   Computacional    Abordagem  Híbrida      
  • 19. Cyber  Segurança    uma  crise  de  priorização   NCO/NITRD   National  Coordination  Office  /  Networking  and  Information  Technology  Research  and  Development  
  • 20. Priorizações  Recomendadas  pelo  Comitê  de  T.I.  do  Gov.  Americano   NCO/NITRD.GOV  -­  Cyber  Security  A  Crisis  of  Prioritization:  pg  43  
  • 21.
  • 22. Pessoas:  A  crise  de  capital  humano  em  CiberSegurança  
  • 23. Alguns Desafios em Perícia Computacional e Resposta a Incidentes 1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise 7 melhorias na taxonomia e compartilhamento de dados
  • 24. Desafios Tecnológicos 1 aumento do tamanho das mídias (HDs) a serem analisadas: -‐ Lei de Moore -‐> número de transistores de chips dobram a cada 18 meses -‐ Lei de Kryder -‐> discos rígidos dobram de tamanho a cada 18 a 24 meses -‐ velocidade de acesso à disco (I/O) não cresce tão rapidamente.. -‐ maioria dos hds possuem mais de um milhão de itens -‐ indexação, carving, análise de assinatura
  • 25. 1 aumento do tamanho das mídias (HDs) Fonte:  Han-­‐Kwang   Nienhuys    http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg  
  • 26. 1 aumento do tamanho das mídias (HDs)     Discos:  aumento  de  +576%.   Estações  de  Trabalho:  +29,7%   PDA/Blackberry/Assemelhados:  +859%    
  • 27. Motivadores de Avanços Tecnológicos 1 aumento do tamanho das mídias (HDs) 2 aumento das fontes de dados a serem analisadas: -‐ Análise de discos de Estado Sólido (SSD) -‐ Análise de mídias removíveis -‐ Análise de computadores remotos -‐ Análise de memória -‐ Análise de sessões de rede -‐ Análise de registros/logs/BD -‐ Análise de dispositivos móveis (celulares, tablets, gps) -‐ outros: ebook readers, mp3 players, GPS,video-‐games, TVs, ...
  • 28. 2 aumento das fontes de dados     +    d    a    d    o    s                                                                      +    c    o    m    p    l    e    x    i    d    a    d    e   HD:       Bit     Byte       Setor       Cluster         Arquivo       1   8bits   512B   8  setores  /  4kb   1-­‐n  clusters   Memória:     Bit     Byte     Página        Thread       Processo         1   8bits    4kB      n  páginas     n  threads     Rede:       Bit   Byte     Pacote       Stream     Sessão         1   8bits    n  bytes   n  pacotes     n  streams    
  • 29. Outras Fontes de Dados: Análise de Memória ex 1 (pdgmail.py)
  • 30. Outras Fontes de Dados: Análise de Memória ex 2 (Ftk 3.x)
  • 31. Outras Fontes de Dados: Análise de Memória ex 3 (HBGary Responder)
  • 32. Outras Fontes de Dados Análise de Sessões de Rede
  • 33. Outras Fontes de Dados Análise de Sessões de Rede ex. 4
  • 34. Motivadores de Avanços Tecnológicos 1 aumento do tamanho das mídias (HDs) a serem analisadas: 2 aumento das fontes de dados a serem analisadas: 3 necessidade de adequação diante de novidades tecnológicas -‐ Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. -‐ Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) -‐ Mobile Forensics ex: variedade de S.Os, aplicações e conectividade -‐ Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  • 35. Novidades Tecnológicas: Novos sistemas operacionais ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP UserAssist: Cifra -‐ ROT13 (A-‐>N, B-‐>O, ...) Inicia o contador em 5. Windows 7/2008 beta UserAssist: Cifra Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 UserAssist: Cifra ROT13 / inicia o contador em 0.
  • 36. Novidades Tecnológicas: Novos sistemas de arquivo ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) -‐ até ext3 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-‐9) e + 2 bits foram adicionados ao campo dos segundos do Suporte completo a ext4: FTK 3.3 e Encase 7
  • 37. Motivadores de Avanços Tecnológicos 1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas 4 melhorias de performance de ferramentas: -‐ Uso de Banco de Dados como BackEnd: ECC -‐ MSSQL/ FTK 3.x Oracle -‐ Aquisição Remota: dados voláteis, memória, discos, artefatos específicos -‐ Processamento Distribuído: DNA -‐> FTK 3.x -‐> AD LAB -‐ Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) -‐ Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
  • 38. 4 -‐ Melhoria de Performance BackEnd Oracle / Processamento Distribuído AD LAB
  • 39. 4 -‐ Melhoria de Performance CriptoAnálise FRED-‐SC + EDPR -‐ CUDA
  • 40. Avanços Tecnológicos -‐ Triagem 1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas 4 melhorias de performance de ferramentas: 5 melhor triagem antes da coleta de dados -‐ Remota FTK 3.x/AD Enterprise, Encase FIM/Platform -‐ Na ponta Encase Portable -‐ Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  • 41. 5 Melhoria na Triagem: ex 1 em campo EnCase Portable USB 4GB PenDrive/Disco 1 Gb-­ > 2Tb 4-­Port USB Dongle / (Security key) Hub
  • 42. 5 Melhoria na Triagem: ex 2 em campo
  • 43. 5 Melhoria na Triagem: ex 3 remota Servlets Installed on Computers
  • 44. Forense Remota / Remediação Auditoria   Logical   ResultLog   Evidence  File   Quem? Garantia de Existência ou não integridade de arquivos Quando? Materialização de responsivos Onde? prova Tamanho reduzido
  • 45. Avanços Tecnológicos 1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise -‐ hashing: MD5/SHA1 -‐> ssdeep/fuzzy -‐> entropy -‐> file block hash analysis -‐ indexação de textos em imagens (OCR); Novos algorítimos de análise -‐ Super Timelines (Enscripts + log2timeline Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  • 46. Evolução de Técnicas de Análise -‐ Hashes Uso de Hashes Criptográficos -‐ Arquivos de Evidência .e01 vs .dd: -‐ E0x1,L0x1: bzip, AES-‐256, MD5+SHA1 -‐ arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) -‐ : Fuzzy hashing | File block hash analysis | Entropy
  • 47. Fuzzy Hashing -‐ ssdeep Jesse Kornblum -‐ http://ssdeep.sourceforge.net -‐ FTK 3.x context triggered piecewise hashes (CTPH)
  • 49. File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657    
  • 50. Algorítimos de Comparação de Vídeos Identificação/categorização  de  vídeos   tolerante  a  mudança  de:       Formato;   Cor;  Brilho;  Contraste;   Compressão;     Espelhamento;   Cortes;   Distorção;   Mudança  de  proporção;   Edições  (~  2  seg)    
  • 51. Avanços Tecnológicos 1 aumento do tamanho das mídias (HDs) 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise 7 melhorias na taxonomia e compartilhamento de dados -‐ Taxonomia Incidentes -‐ Atribuição de Origem ( Táticas, Técnicas e Procedimentos) -‐ Indicadores de Comprometimento -‐ OpenIOC -‐ Framework de Compartilhamento de dados -‐ VerIS
  • 52. Utilização do compartilhamento de dados Análise de Sessões de Rede ex. ?
  • 53. Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications Applications Firewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação  de  Milhões  de  Eventos  Diários  
  • 54. Monitoração de Infra-‐Estruturas Críticas (PLCs) 54  
  • 55. 15/08/201 Inteligência para Investigações e apoio à Decisão 1   55  
  • 56. Foco  de  Atenção:  Ênfase  na  *Ameaça*   -­‐ Kill  Chain    sequência  de  eventos  para  uma  ameaça  afetar  um  alvo:   -­‐ Fórmula  Tradicional  de  Risco  =  Ameaça  x  Vulnerabilidade  x  Impacto   TBS    Time  Based  Security:  Pt  ~  Dt  +  Rt       Proteção  =  Tempo  Detecção  +  Tempo  Reação  suficientes   Exposição  =  Tempo  Detecção  +  Tempo  Reação  tardios     Conceito  TBS::   Winn  Schwartau   diagramas:  Mike  Cloppert    Lockheed  Martin  
  • 57. Evolução  de  um  Ataque  Temporalmente  
  • 58. Análise  de  Incidentes  -­‐  TTPs     Táticas,  Técnicas,  e  Procedimentos   Mike  Cloppert    Lockheed  Martin  
  • 59. Indicators  of  Compromise  -­‐  OpenIOC   http://www.mandiant.com/uploads/presentations/SOH_052010.pdf  
  • 60. Táticas, Técnicas e Procedimentos VerIS Incident Sharing -‐ Framework http://securityblog.verizonbusiness.com/wp-­‐content/uploads/2010/03/VerIS_Framework_Beta_1.pdf  
  • 61. Alguns casos 2011 Heterogeneidade de Casos: EBCDIC 3270 rede (fraude externa) Solaris adm (sabotagem) Java boleto (fraude interna) Invasão de site / vazamento de dados Clipper (fraude interna) MSDOS 16bit -‐ Video poker (Forças da Lei) Sistema Web .NET + SQL Server (Fraude Votação)
  • 64. Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com