201108 sandro süffert - desafios em forense computacional e resposta a incidentes

5.312 visualizações

Publicada em

Sandro Süffert - Desafios em Forense Computacional e Resposta a Incidentes

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
5.312
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3.231
Ações
Compartilhamentos
0
Downloads
121
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

201108 sandro süffert - desafios em forense computacional e resposta a incidentes

  1. 1. Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süfferthttp://blog.suffert.com
  2. 2. Equipamentos de Laboratórios de Perícia Computação Forense é só isto? Softwares de Duplicadores de MídiasArmazenamento Portátil Análise Pericial Computadores Especializados Mobile Forensics Aquisição em campoBloqueadores de Escrita
  3. 3. Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital:Perícia Criminal Segurança da Inf. Auditoria Anti-Fraude Inteligência Fiscalização Jurídico Defesa Cibernética Compliance
  4. 4. Algumas modalidades de Forense ComputacionalForense Post- Forense de Rede Forense Remota ForenseMortem • Redes Cabeadas • Conexão online Colaborativa• HDs, CDs, Pen- • Redes Sem Fio • Silenciosa • Múltiplas Drives, Disquetes, • Reconstrução de • Stealth Investigações etc Sessões • Múltiplos • Capacidade de• Telefones, GPS, Investigadores • Geração de obtenção de Tablets, etc • Interface de Metadados dados voláteis Investigação • Possibilidade de Amigável Remediação • Grupo Especialista
  5. 5. Taxonomia: Evento>Ataque>Incidente>CrimeINCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não ObjetivosAgente Ferramentas Falha Ação Alvo autorizado Crime
  6. 6. Dinâmicas de Incidentes ou “Crimes Digitais” Resultado Agente Ferramentas Falha Ação Alvo Objetivos não autorizado Hackers Ataque Físico Design Probe Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan Processos Obtenção Ganho Terroristas Eng. Social Configuração Flood Dados informação Financeiro confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass Computadores Spoof Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia RecursosJohn D. Howard e Thomas A. Longstaff RouboA Common Language for Computer Security Incidents Modificaçãohttp://www.cert.org/research/taxonomy_988667.pdf Remoção
  7. 7. Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP1)Timing, 11) Ferramentas,2) Vítimas/Alvos, 12) Mecanismo de Persistência,3) Origem, 13) Método de Propagação,4) Mecanismo de Entrada, 14) Dados Alvo,5) Vulnerabilidade ou Exposição, 15) Compactação de Dados,6) Exploit ou Payload, 16) Modo de Extrafiltração,7) Weaponization, 17) Atribuição Externa,8) Atividade pós-exploração, 18) Grau de Profissionalismo,9) Método de Comando e Controle, 19) Variedade de Técnicas utilizadas,10) Servidores de Comando e Controle, 20) Escopo (R. Beitlich, M. Cloppert) Agente Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
  8. 8. Diferentes Níveis de Importância EstratégicaDiferentes Categorias de Agentes e Objetivos diagrama: - David Ross – GFIRST/Mandiant
  9. 9. Processos de Investigação Digital
  10. 10. Exemplo de Processo de Investigação
  11. 11. • CheckList de Abertura• Requisitar Autorização• Designar responsáveis • Preservação e Coleta • Acompanhamento• Efetuar • Inventário • Enviar para Análise
  12. 12. Tratamento > Coleta Presencial
  13. 13. Tratamento > Coleta Presencial
  14. 14. Tratamento > Coleta Presencial• PADRONIZAR o processamento, gerando CONTROLE• MINIMIZAR ao máximo a PERDA de dados• EVITAR a CONTAMINAÇÃO de dados / informações
  15. 15. Tratamento > Coleta Remota
  16. 16. • INFORMAÇÃO sobre as FERRAMENTAS utilizadas• INFORMAÇÕES sobre a REDE• INFORMAÇÕES sobre a AQUISIÇÃO• INFORMAÇÕES sobre ARQUIVAMENTO
  17. 17. Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 – Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Autorização Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup)Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de EmailsRequisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
  18. 18. Resposta a Incidentes e ForenseComputacional – Abordagem Híbrida“Computer Forensics: Results of LiveResponse Inquiry vs Memory Image Analysis”
  19. 19. Cyber Segurança – uma crise de priorizaçãoNCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
  20. 20. Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
  21. 21. Pessoas: A crise de capital humano em CiberSegurança
  22. 22. Alguns Desafios em Perícia Computacional e Resposta a Incidentes1 – aumento do tamanho das mídias2 – aumento das fontes de dados3 – novidades tecnológicas4 – melhorias de performance de ferramentas5 – melhor triagem antes da coleta de dados6 – evolução de técnicas de análise7 – melhorias na taxonomia e compartilhamento de dados
  23. 23. Desafios Tecnológicos1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
  24. 24. 1 – aumento do tamanho das mídias (HDs)Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
  25. 25. 1 – aumento do tamanho das mídias (HDs) Discos: aumento de +576%. Estações de Trabalho: +29,7% PDA/Blackberry/Assemelhados: +859%
  26. 26. Motivadores de Avanços Tecnológicos1 – aumento do tamanho das mídias (HDs)2 – aumento das fontes de dados a serem analisadas: - Análise de discos de Estado Sólido (SSD) - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs/BD - Análise de dispositivos móveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
  27. 27. 2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d eHD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clustersMemória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threadsRede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  28. 28. Outras Fontes de Dados:Análise de Memória – ex 1 (pdgmail.py)
  29. 29. Outras Fontes de Dados:Análise de Memória – ex 2 (Ftk 3.x)
  30. 30. Outras Fontes de Dados:Análise de Memória – ex 3 (HBGary Responder)
  31. 31. Outras Fontes de DadosAnálise de Sessões de Rede
  32. 32. Outras Fontes de DadosAnálise de Sessões de Rede – ex. 4
  33. 33. Motivadores de Avanços Tecnológicos1 – aumento do tamanho das mídias (HDs) a serem analisadas:2 – aumento das fontes de dados a serem analisadas:3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..) - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  34. 34. Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7)Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssistWindows XP – UserAssist:Cifra - ROT13 (A->N, B->O, ...)Inicia o contador em 5.Windows 7/2008 beta – UserAssist:Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)Windows 7/2008 – UserAssist:Cifra – ROT13 / inicia o contador em 0.
  35. 35. Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4)Análise dos metadados de MAC Times (Modificação, Acesso e Criação)Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integerSegundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)timeLimite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901)bits: 1111111111111111111111111111111ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242.Suporte completo a ext4: FTK 3.3 e Encase 7
  36. 36. Motivadores de Avanços Tecnológicos1 – aumento do tamanho das mídias2 – aumento das fontes de dados3 – adequação diante de novidades tecnológicas4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) - Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
  37. 37. 4 - Melhoria de PerformanceBackEnd Oracle / Processamento Distribuído – AD LAB
  38. 38. 4 - Melhoria de PerformanceCriptoAnálise – FRED-SC + EDPR - CUDA
  39. 39. Avanços Tecnológicos - Triagem1 – aumento do tamanho das mídias2 – aumento das fontes de dados3 – adequação diante de novidades tecnológicas4 – melhorias de performance de ferramentas:5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  40. 40. 5 – Melhoria na Triagem: ex 1 – em campoEnCasePortableUSB – 4GBPenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
  41. 41. 5 – Melhoria na Triagem: ex 2 – em campo
  42. 42. 5 – Melhoria na Triagem: ex 3 – remota Servlets Installed on Computers
  43. 43. Forense Remota / Remediação Auditoria Logical ResultLog Evidence File• Quem? • Garantia de • Existência ou não integridade de arquivos• Quando? • Materialização de responsivos• Onde? prova •Tamanho reduzido
  44. 44. Avanços Tecnológicos1– aumento do tamanho das mídias2– aumento das fontes de dados3– novidades tecnológicas4– melhorias de performance de ferramentas5– melhor triagem antes da coleta de dados6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis - indexação de textos em imagens (OCR); Novos algorítimos de análise - Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  45. 45. Evolução de Técnicas de Análise - HashesUso de Hashes Criptográficos- Arquivos de Evidência .e01 vs .dd:- E0x1,L0x1: bzip, AES-256, MD5+SHA1- arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle)- Outros tipos de “Hashing” úteis na Forense:Fuzzy hashing | File block hash analysis | Entropy
  46. 46. Fuzzy Hashing- ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net- FTK 3.x context triggered piecewise hashes (CTPH)
  47. 47. Hashes - Entropy
  48. 48. File Block Hash Analysishttps://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
  49. 49. Algorítimos de Comparação de Vídeos Identificação/categorização de vídeos tolerante a mudança de: • Formato; • Cor; Brilho; Contraste; • Compressão; • Espelhamento; • Cortes; • Distorção; • Mudança de proporção; • Edições (~ 2 seg)
  50. 50. Avanços Tecnológicos1 – aumento do tamanho das mídias (HDs)2 – aumento das fontes de dados3 – novidades tecnológicas4 – melhorias de performance de ferramentas5 – melhor triagem antes da coleta de dados6 – evolução de técnicas de análise7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem ( Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
  51. 51. Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
  52. 52. Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications ApplicationsFirewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação de Milhões de Eventos Diários
  53. 53. Monitoração de Infra-Estruturas Críticas (PLCs) 54
  54. 54. 15/08/201Inteligência para Investigações e apoio à Decisão 1 55
  55. 55. Foco de Atenção: Ênfase na *Ameaça*- Kill Chain – sequência de eventos para uma ameaça afetar um alvo: - Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto TBS – Time Based Security: Pt ~ Dt + Rt “Proteção requer detectar um ataque e reagir a Tempo”. Proteção = Tempo Detecção + Tempo Reação suficientes Exposição = Tempo Detecção + Tempo Reação tardios Conceito TBS:: Winn Schwartau diagramas: Mike Cloppert – Lockheed Martin
  56. 56. Evolução de um Ataque Temporalmente
  57. 57. Análise de Incidentes - TTPs Táticas, Técnicas, e ProcedimentosMike Cloppert – Lockheed Martin
  58. 58. Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
  59. 59. Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Frameworkhttp://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
  60. 60. Alguns casos – 2011Heterogeneidade de Casos:• EBCDIC 3270 rede (fraude externa)• Solaris – adm (sabotagem)• Java boleto (fraude interna)• Invasão de site / vazamento de dados• Clipper – (fraude interna)• MSDOS 16bit - Video poker (Forças da Lei)• Sistema Web .NET + SQL Server (Fraude Votação)
  61. 61. Maturidade em Investigação Computacional
  62. 62. Desenvolvimento e Integração de Tecnologia
  63. 63. Obrigado! Sandro Süffert, CTOTechbiz Forense Digital http://blog.suffert.com

×