SlideShare a Scribd company logo

Desafios em Computação Forense

Sandro Suffert
Sandro Suffert

Sandro Süffert - Desafios em Forense Computacional e Resposta a Incidentes

Technology
1 of 64
Download to read offline
Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süffert http://blog.suffert.com
Equipamentos de Laboratórios de Perícia Computação Forense é só isto? Softwares de Duplicadores de Mídias Armazenamento Portátil Análise Pericial Computadores Especializados Mobile Forensics Aquisição em campo Bloqueadores de Escrita
Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital: Perícia Criminal Segurança da Inf. Auditoria Anti-Fraude Inteligência Fiscalização Jurídico Defesa Cibernética Compliance
Algumas modalidades de Forense Computacional Forense Post- Forense de Rede Forense Remota Forense Mortem • Redes Cabeadas • Conexão online Colaborativa • HDs, CDs, Pen- • Redes Sem Fio • Silenciosa • Múltiplas Drives, Disquetes, • Reconstrução de • Stealth Investigações etc Sessões • Múltiplos • Capacidade de • Telefones, GPS, Investigadores • Geração de obtenção de Tablets, etc • Interface de Metadados dados voláteis Investigação • Possibilidade de Amigável Remediação • Grupo Especialista
Taxonomia: Evento>Ataque>Incidente>Crime INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não Objetivos Agente Ferramentas Falha Ação Alvo autorizado Crime
Dinâmicas de Incidentes ou “Crimes Digitais” Resultado Agente Ferramentas Falha Ação Alvo Objetivos não autorizado Hackers Ataque Físico Design Probe Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan Processos Obtenção Ganho Terroristas Eng. Social Configuração Flood Dados informação Financeiro confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass Computadores Spoof Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia Recursos John D. Howard e Thomas A. Longstaff Roubo A Common Language for Computer Security Incidents Modificação http://www.cert.org/research/taxonomy_988667.pdf Remoção
Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP 1)Timing, 11) Ferramentas, 2) Vítimas/Alvos, 12) Mecanismo de Persistência, 3) Origem, 13) Método de Propagação, 4) Mecanismo de Entrada, 14) Dados Alvo, 5) Vulnerabilidade ou Exposição, 15) Compactação de Dados, 6) Exploit ou Payload, 16) Modo de Extrafiltração, 7) Weaponization, 17) Atribuição Externa, 8) Atividade pós-exploração, 18) Grau de Profissionalismo, 9) Método de Comando e Controle, 19) Variedade de Técnicas utilizadas, 10) Servidores de Comando e Controle, 20) Escopo (R. Beitlich, M. Cloppert) Agente Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
Diferentes Níveis de Importância Estratégica Diferentes Categorias de Agentes e Objetivos diagrama: - David Ross – GFIRST/Mandiant
Processos de Investigação Digital
Exemplo de Processo de Investigação
• CheckList de Abertura • Requisitar Autorização • Designar responsáveis • Preservação e Coleta • Acompanhamento • Efetuar • Inventário • Enviar para Análise
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial • PADRONIZAR o processamento, gerando CONTROLE • MINIMIZAR ao máximo a PERDA de dados • EVITAR a CONTAMINAÇÃO de dados / informações
Tratamento > Coleta Remota
• INFORMAÇÃO sobre as FERRAMENTAS utilizadas • INFORMAÇÕES sobre a REDE • INFORMAÇÕES sobre a AQUISIÇÃO • INFORMAÇÕES sobre ARQUIVAMENTO
Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 – Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Autorização Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup) Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de Emails Requisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
Cyber Segurança – uma crise de priorização NCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
Pessoas: A crise de capital humano em CiberSegurança
Alguns Desafios em Perícia Computacional e Resposta a Incidentes 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados
Desafios Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
1 – aumento do tamanho das mídias (HDs) Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
1 – aumento do tamanho das mídias (HDs) Discos: aumento de +576%. Estações de Trabalho: +29,7% PDA/Blackberry/Assemelhados: +859%
Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados a serem analisadas: - Análise de discos de Estado Sólido (SSD) - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs/BD - Análise de dispositivos móveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Outras Fontes de Dados: Análise de Memória – ex 1 (pdgmail.py)
Outras Fontes de Dados: Análise de Memória – ex 2 (Ftk 3.x)
Outras Fontes de Dados: Análise de Memória – ex 3 (HBGary Responder)
Outras Fontes de Dados Análise de Sessões de Rede
Outras Fontes de Dados Análise de Sessões de Rede – ex. 4
Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: 2 – aumento das fontes de dados a serem analisadas: 3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..) - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP – UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta – UserAssist: Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 – UserAssist: Cifra – ROT13 / inicia o contador em 0.
Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242. Suporte completo a ext4: FTK 3.3 e Encase 7
Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) - Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
4 - Melhoria de Performance BackEnd Oracle / Processamento Distribuído – AD LAB
4 - Melhoria de Performance CriptoAnálise – FRED-SC + EDPR - CUDA
Avanços Tecnológicos - Triagem 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: 5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
5 – Melhoria na Triagem: ex 1 – em campo EnCase Portable USB – 4GB PenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
5 – Melhoria na Triagem: ex 2 – em campo
5 – Melhoria na Triagem: ex 3 – remota Servlets Installed on Computers
Forense Remota / Remediação Auditoria Logical ResultLog Evidence File • Quem? • Garantia de • Existência ou não integridade de arquivos • Quando? • Materialização de responsivos • Onde? prova •Tamanho reduzido
Avanços Tecnológicos 1– aumento do tamanho das mídias 2– aumento das fontes de dados 3– novidades tecnológicas 4– melhorias de performance de ferramentas 5– melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis - indexação de textos em imagens (OCR); Novos algorítimos de análise - Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
Evolução de Técnicas de Análise - Hashes Uso de Hashes Criptográficos - Arquivos de Evidência .e01 vs .dd: - E0x1,L0x1: bzip, AES-256, MD5+SHA1 - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - Outros tipos de “Hashing” úteis na Forense: Fuzzy hashing | File block hash analysis | Entropy
Fuzzy Hashing - ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x context triggered piecewise hashes (CTPH)
Hashes - Entropy
File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
Algorítimos de Comparação de Vídeos Identificação/categorização de vídeos tolerante a mudança de: • Formato; • Cor; Brilho; Contraste; • Compressão; • Espelhamento; • Cortes; • Distorção; • Mudança de proporção; • Edições (~ 2 seg)
Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem ( Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications Applications Firewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação de Milhões de Eventos Diários
Monitoração de Infra-Estruturas Críticas (PLCs) 54
15/08/201 Inteligência para Investigações e apoio à Decisão 1 55
Foco de Atenção: Ênfase na *Ameaça* - Kill Chain – sequência de eventos para uma ameaça afetar um alvo: - Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto TBS – Time Based Security: Pt ~ Dt + Rt “Proteção requer detectar um ataque e reagir a Tempo”. Proteção = Tempo Detecção + Tempo Reação suficientes Exposição = Tempo Detecção + Tempo Reação tardios Conceito TBS:: Winn Schwartau diagramas: Mike Cloppert – Lockheed Martin
Evolução de um Ataque Temporalmente
Análise de Incidentes - TTPs Táticas, Técnicas, e Procedimentos Mike Cloppert – Lockheed Martin
Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Framework http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
Alguns casos – 2011 Heterogeneidade de Casos: • EBCDIC 3270 rede (fraude externa) • Solaris – adm (sabotagem) • Java boleto (fraude interna) • Invasão de site / vazamento de dados • Clipper – (fraude interna) • MSDOS 16bit - Video poker (Forças da Lei) • Sistema Web .NET + SQL Server (Fraude Votação)
Maturidade em Investigação Computacional
Desenvolvimento e Integração de Tecnologia
Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com

Recommended

Perícia Forense e os Crimes de Informática
Perícia Forense e os Crimes de InformáticaPerícia Forense e os Crimes de Informática
Perícia Forense e os Crimes de InformáticaAna Carolina Gracioso
 
Computacao forense
Computacao forenseComputacao forense
Computacao forenseIntellecta
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software LivreLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseVaine Luiz Barreira, MBA
 
Computação Forense
Computação ForenseComputação Forense
Computação ForenseClaudio Benossi
 
Perícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoPerícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoLuiz Sales Rabelo
 
Computacao forense
Computacao forenseComputacao forense
Computacao forenseRoney Médice
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacionalJoão Freire Abramowicz
 

Recommended

Perícia Forense e os Crimes de Informática
Perícia Forense e os Crimes de InformáticaPerícia Forense e os Crimes de Informática
Perícia Forense e os Crimes de InformáticaAna Carolina Gracioso
 
Computacao forense
Computacao forenseComputacao forense
Computacao forenseIntellecta
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software LivreLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseVaine Luiz Barreira, MBA
 
Computação Forense
Computação ForenseComputação Forense
Computação ForenseClaudio Benossi
 
Perícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoPerícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoLuiz Sales Rabelo
 
Computacao forense
Computacao forenseComputacao forense
Computacao forenseRoney Médice
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacionalJoão Freire Abramowicz
 
Palestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação DigitalPalestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação DigitalDeivison Pinheiro Franco.·.
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Vaine Luiz Barreira, MBA
 
Forense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKForense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKLinux User Goup Alagoas
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Uma Visao dos Crimes Digitais
Uma Visao dos Crimes DigitaisUma Visao dos Crimes Digitais
Uma Visao dos Crimes DigitaisVaine Luiz Barreira, MBA
 
FDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalFDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalJunior Abreu
 
Computação Forense com Software Livre
Computação Forense com Software LivreComputação Forense com Software Livre
Computação Forense com Software LivreFabrício Basto
 
Crimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB UberlandiaCrimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB UberlandiaVaine Luiz Barreira, MBA
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Carlos Eduardo Motta de Castro
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
Computação forense
Computação forenseComputação forense
Computação forenseRamyres Aquino
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Felipe Gulert Rodrigues
 
Crimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasCrimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasVaine Luiz Barreira, MBA
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurançaCarlos Veiga
 
SLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKASLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKAJef Dias
 
E book pericia forense computacional
E book pericia forense computacionalE book pericia forense computacional
E book pericia forense computacionalGustavo Lima
 
Sistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueSistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueUrsao Go
 
Análise Forense Computacional
Análise Forense ComputacionalAnálise Forense Computacional
Análise Forense ComputacionalThiago Finardi
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Luiz Sales Rabelo
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Sandro Suffert
 
Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffertSandro Suffert
 

More Related Content

What's hot

Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Vaine Luiz Barreira, MBA
 
Forense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKForense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKLinux User Goup Alagoas
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
FDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalFDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalJunior Abreu
 
Computação Forense com Software Livre
Computação Forense com Software LivreComputação Forense com Software Livre
Computação Forense com Software LivreFabrício Basto
 
Crimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB UberlandiaCrimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB UberlandiaVaine Luiz Barreira, MBA
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Felipe Gulert Rodrigues
 
Crimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasCrimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasVaine Luiz Barreira, MBA
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurançaCarlos Veiga
 
SLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKASLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKAJef Dias
 
E book pericia forense computacional
E book pericia forense computacionalE book pericia forense computacional
E book pericia forense computacionalGustavo Lima
 
Sistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueSistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueUrsao Go
 
Análise Forense Computacional
Análise Forense ComputacionalAnálise Forense Computacional
Análise Forense ComputacionalThiago Finardi
 

What's hot (20)

Palestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação DigitalPalestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação Digital
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1
 
Forense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKForense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTK
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
 
Uma Visao dos Crimes Digitais
Uma Visao dos Crimes DigitaisUma Visao dos Crimes Digitais
Uma Visao dos Crimes Digitais
 
FDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalFDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense Digital
 
Computação Forense com Software Livre
Computação Forense com Software LivreComputação Forense com Software Livre
Computação Forense com Software Livre
 
Crimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB UberlandiaCrimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB Uberlandia
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB Santos
 
Computação forense
Computação forenseComputação forense
Computação forense
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
 
Crimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasCrimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB Campinas
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurança
 
SLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKASLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKA
 
E book pericia forense computacional
E book pericia forense computacionalE book pericia forense computacional
E book pericia forense computacional
 
Sistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueSistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataque
 
Análise Forense Computacional
Análise Forense ComputacionalAnálise Forense Computacional
Análise Forense Computacional
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
 

Viewers also liked

Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Sandro Suffert
 
Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffertSandro Suffert
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Sandro Suffert
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosSandro Suffert
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Sandro Suffert
 
2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - publicSandro Suffert
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 
Analise de Malware e Pesquisas Recentes
Analise de Malware e Pesquisas RecentesAnalise de Malware e Pesquisas Recentes
Analise de Malware e Pesquisas RecentesLuiz Amelotti
 
Redes de Computadores - KAREN LOWHANY
Redes de Computadores - KAREN LOWHANYRedes de Computadores - KAREN LOWHANY
Redes de Computadores - KAREN LOWHANYKaren Costa
 
Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Julio Cesar Roque Benatto
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 

Viewers also liked (15)

Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
 
Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffert
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
 
2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016
 
Analise de Malware e Pesquisas Recentes
Analise de Malware e Pesquisas RecentesAnalise de Malware e Pesquisas Recentes
Analise de Malware e Pesquisas Recentes
 
Redes de Computadores - KAREN LOWHANY
Redes de Computadores - KAREN LOWHANYRedes de Computadores - KAREN LOWHANY
Redes de Computadores - KAREN LOWHANY
 
Aula01
Aula01Aula01
Aula01
 
Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
3 FunçòEs Inorganicas
3 FunçòEs Inorganicas3 FunçòEs Inorganicas
3 FunçòEs Inorganicas
 
Redes de Computadores
Redes de ComputadoresRedes de Computadores
Redes de Computadores
 
Computer forensics ppt
Computer forensics pptComputer forensics ppt
Computer forensics ppt
 

Similar to Desafios em Computação Forense

Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...FecomercioSP
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Rute1993
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011Rodrigo Antao
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasLuiz Sales Rabelo
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Notas sobre Segurança de Software
Notas sobre Segurança de SoftwareNotas sobre Segurança de Software
Notas sobre Segurança de SoftwareOrlando Junior
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 

Similar to Desafios em Computação Forense (20)

Apresentação SegInfo
Apresentação SegInfoApresentação SegInfo
Apresentação SegInfo
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
 
Pentest cool
Pentest coolPentest cool
Pentest cool
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souza
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
 
CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSP
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de Redes
 
Pentest
Pentest Pentest
Pentest
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Notas sobre Segurança de Software
Notas sobre Segurança de SoftwareNotas sobre Segurança de Software
Notas sobre Segurança de Software
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informação
 

Desafios em Computação Forense

  • 1. Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süffert http://blog.suffert.com
  • 2. Equipamentos de Laboratórios de Perícia Computação Forense é só isto? Softwares de Duplicadores de Mídias Armazenamento Portátil Análise Pericial Computadores Especializados Mobile Forensics Aquisição em campo Bloqueadores de Escrita
  • 3. Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital: Perícia Criminal Segurança da Inf. Auditoria Anti-Fraude Inteligência Fiscalização Jurídico Defesa Cibernética Compliance
  • 4. Algumas modalidades de Forense Computacional Forense Post- Forense de Rede Forense Remota Forense Mortem • Redes Cabeadas • Conexão online Colaborativa • HDs, CDs, Pen- • Redes Sem Fio • Silenciosa • Múltiplas Drives, Disquetes, • Reconstrução de • Stealth Investigações etc Sessões • Múltiplos • Capacidade de • Telefones, GPS, Investigadores • Geração de obtenção de Tablets, etc • Interface de Metadados dados voláteis Investigação • Possibilidade de Amigável Remediação • Grupo Especialista
  • 5. Taxonomia: Evento>Ataque>Incidente>Crime INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não Objetivos Agente Ferramentas Falha Ação Alvo autorizado Crime
  • 6. Dinâmicas de Incidentes ou “Crimes Digitais” Resultado Agente Ferramentas Falha Ação Alvo Objetivos não autorizado Hackers Ataque Físico Design Probe Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan Processos Obtenção Ganho Terroristas Eng. Social Configuração Flood Dados informação Financeiro confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass Computadores Spoof Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia Recursos John D. Howard e Thomas A. Longstaff Roubo A Common Language for Computer Security Incidents Modificação http://www.cert.org/research/taxonomy_988667.pdf Remoção
  • 7. Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP 1)Timing, 11) Ferramentas, 2) Vítimas/Alvos, 12) Mecanismo de Persistência, 3) Origem, 13) Método de Propagação, 4) Mecanismo de Entrada, 14) Dados Alvo, 5) Vulnerabilidade ou Exposição, 15) Compactação de Dados, 6) Exploit ou Payload, 16) Modo de Extrafiltração, 7) Weaponization, 17) Atribuição Externa, 8) Atividade pós-exploração, 18) Grau de Profissionalismo, 9) Método de Comando e Controle, 19) Variedade de Técnicas utilizadas, 10) Servidores de Comando e Controle, 20) Escopo (R. Beitlich, M. Cloppert) Agente Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
  • 8. Diferentes Níveis de Importância Estratégica Diferentes Categorias de Agentes e Objetivos diagrama: - David Ross – GFIRST/Mandiant
  • 10. Exemplo de Processo de Investigação
  • 11. • CheckList de Abertura • Requisitar Autorização • Designar responsáveis • Preservação e Coleta • Acompanhamento • Efetuar • Inventário • Enviar para Análise
  • 12. Tratamento > Coleta Presencial
  • 13. Tratamento > Coleta Presencial
  • 14. Tratamento > Coleta Presencial • PADRONIZAR o processamento, gerando CONTROLE • MINIMIZAR ao máximo a PERDA de dados • EVITAR a CONTAMINAÇÃO de dados / informações
  • 16. INFORMAÇÃO sobre as FERRAMENTAS utilizadas • INFORMAÇÕES sobre a REDE • INFORMAÇÕES sobre a AQUISIÇÃO • INFORMAÇÕES sobre ARQUIVAMENTO
  • 17. Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 – Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Autorização Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup) Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de Emails Requisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
  • 18. Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
  • 19. Cyber Segurança – uma crise de priorização NCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
  • 20. Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
  • 21.
  • 22. Pessoas: A crise de capital humano em CiberSegurança
  • 23. Alguns Desafios em Perícia Computacional e Resposta a Incidentes 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados
  • 24. Desafios Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
  • 25. 1 – aumento do tamanho das mídias (HDs) Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
  • 26. 1 – aumento do tamanho das mídias (HDs) Discos: aumento de +576%. Estações de Trabalho: +29,7% PDA/Blackberry/Assemelhados: +859%
  • 27. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados a serem analisadas: - Análise de discos de Estado Sólido (SSD) - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs/BD - Análise de dispositivos móveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
  • 28. 2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • 29. Outras Fontes de Dados: Análise de Memória – ex 1 (pdgmail.py)
  • 30. Outras Fontes de Dados: Análise de Memória – ex 2 (Ftk 3.x)
  • 31. Outras Fontes de Dados: Análise de Memória – ex 3 (HBGary Responder)
  • 32. Outras Fontes de Dados Análise de Sessões de Rede
  • 33. Outras Fontes de Dados Análise de Sessões de Rede – ex. 4
  • 34. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: 2 – aumento das fontes de dados a serem analisadas: 3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..) - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  • 35. Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP – UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta – UserAssist: Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 – UserAssist: Cifra – ROT13 / inicia o contador em 0.
  • 36. Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242. Suporte completo a ext4: FTK 3.3 e Encase 7
  • 37. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) - Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
  • 38. 4 - Melhoria de Performance BackEnd Oracle / Processamento Distribuído – AD LAB
  • 39. 4 - Melhoria de Performance CriptoAnálise – FRED-SC + EDPR - CUDA
  • 40. Avanços Tecnológicos - Triagem 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: 5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  • 41. 5 – Melhoria na Triagem: ex 1 – em campo EnCase Portable USB – 4GB PenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
  • 42. 5 – Melhoria na Triagem: ex 2 – em campo
  • 43. 5 – Melhoria na Triagem: ex 3 – remota Servlets Installed on Computers
  • 44. Forense Remota / Remediação Auditoria Logical ResultLog Evidence File • Quem? • Garantia de • Existência ou não integridade de arquivos • Quando? • Materialização de responsivos • Onde? prova •Tamanho reduzido
  • 45. Avanços Tecnológicos 1– aumento do tamanho das mídias 2– aumento das fontes de dados 3– novidades tecnológicas 4– melhorias de performance de ferramentas 5– melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis - indexação de textos em imagens (OCR); Novos algorítimos de análise - Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  • 46. Evolução de Técnicas de Análise - Hashes Uso de Hashes Criptográficos - Arquivos de Evidência .e01 vs .dd: - E0x1,L0x1: bzip, AES-256, MD5+SHA1 - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - Outros tipos de “Hashing” úteis na Forense: Fuzzy hashing | File block hash analysis | Entropy
  • 47. Fuzzy Hashing - ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x context triggered piecewise hashes (CTPH)
  • 49. File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
  • 50. Algorítimos de Comparação de Vídeos Identificação/categorização de vídeos tolerante a mudança de: • Formato; • Cor; Brilho; Contraste; • Compressão; • Espelhamento; • Cortes; • Distorção; • Mudança de proporção; • Edições (~ 2 seg)
  • 51. Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem ( Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
  • 52. Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
  • 53. Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications Applications Firewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação de Milhões de Eventos Diários
  • 54. Monitoração de Infra-Estruturas Críticas (PLCs) 54
  • 56. Foco de Atenção: Ênfase na *Ameaça* - Kill Chain – sequência de eventos para uma ameaça afetar um alvo: - Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto TBS – Time Based Security: Pt ~ Dt + Rt “Proteção requer detectar um ataque e reagir a Tempo”. Proteção = Tempo Detecção + Tempo Reação suficientes Exposição = Tempo Detecção + Tempo Reação tardios Conceito TBS:: Winn Schwartau diagramas: Mike Cloppert – Lockheed Martin
  • 57. Evolução de um Ataque Temporalmente
  • 58. Análise de Incidentes - TTPs Táticas, Técnicas, e Procedimentos Mike Cloppert – Lockheed Martin
  • 59. Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
  • 60. Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Framework http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
  • 61. Alguns casos – 2011 Heterogeneidade de Casos: • EBCDIC 3270 rede (fraude externa) • Solaris – adm (sabotagem) • Java boleto (fraude interna) • Invasão de site / vazamento de dados • Clipper – (fraude interna) • MSDOS 16bit - Video poker (Forças da Lei) • Sistema Web .NET + SQL Server (Fraude Votação)
  • 64. Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com