3. A TechBiz Forense Digital faz parte do grupo TechBiz,
que tem 15 anos de história.
Sediada em São Paulo, a TechBiz Forense Digital tem
escritórios em Belo Horizonte, Rio de Janeiro, Brasília
e Florianópolis
4. Torna-se 1º Guidance
Authorized PSD (Professional
Services Division) no mundo
Início formal das operações, Duplicação do Time de
com escritório em Belo Profissionais para atender o
Horizonte e São Paulo
2007 2008 2009
Brasil inteiro
Fundação da 2006 Novos escritórios em 2010
TechBiz Informática Distribuidora exclusiva
1995 2005 Brasília e Rio de Janeiro
de Access Data,
ArcSight, NetWitness
TechBiz Forense Digital é
concebida Executa o maior projeto
mundial de Encase
Distribuidora Exclusiva Forensics
Guidance Software, Distribuidora exclusiva
Intelligent Computer Digital Intelligence, LTU
Solutions, Technologies, Veresoftware,
MicroSystemation Wiebetech, Tableau
5.
6. Avanços Tecnológicos em
Perícia Computacional e Resposta a Incidentes
AGENDA:
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados
7. Resposta a Incidentes e Forense
Computacional – Abordagem Híbrida
“Computer Forensics: Results of Live
Response Inquiry vs Memory Image Analysis”
8. Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs) a serem analisadas:
- Lei de Moore -> número de transistores de chips dobram a cada 18 meses
- Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses
- velocidade de acesso à disco (I/O) não cresce tão rapidamente..
- maioria dos hds possuem mais de um milhão de itens
- indexação, carving, análise de assinatura
9. 1 – aumento do tamanho das mídias (HDs)
Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
11. Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados a serem analisadas:
- Análise de mídias removíveis
- Análise de computadores remotos
- Análise de memória
- Análise de sessões de rede
- Análise de registros/logs e auditoria
- Análise de dispositivos móveis
- outros: ebook readers, mp3 players, GPS,video-games, TVs,
...
12. 2 – aumento das fontes de dados
+ d a d o s + c o m p l e x i d a d e
HD: Bit Byte Setor Cluster Arquivo
1 8bits 512B 8 setores / 4kb 1-n clusters
Memória: Bit Byte Página Thread Processo
1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão
1 8bits n bytes n pacotes n streams
18. Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs) a serem analisadas:
2 – aumento das fontes de dados a serem analisadas:
3 – necessidade de adequação diante de novidades tecnológicas
- Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, ..
- Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => Suporte FTK 3.2 / Encase 7
- Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade
- Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
19. Novidades Tecnológicas:
Novos sistemas operacionais – ex 1 (Win 7)
Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist
Windows XP – UserAssist:
Cifra - ROT13 (A->N, B->O, ...)
Inicia o contador em 5.
Windows 7/2008 beta – UserAssist:
Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)
Windows 7/2008 – UserAssist:
Cifra – ROT13 / inicia o contador em 0.
20. Novidades Tecnológicas:
Novos sistemas de arquivo – ex 2 (ext4)
Análise dos metadados de MAC Times (Modificação, Acesso e Criação)
Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer
Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time
Limite: 03:14:07 de 19 de janeiro de 2038 (+1s => ano 1901)
bits: 1111111111111111111111111111111
ext4 – lançado em 25 de dezembro de 2008, estende timestamps para
nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do
“expanded timestamp”, aumentando o limite para o ano 2242.
Suporte completo a ext4: FTK 3.2 (beta) e Encase 7 (n/d)
21. Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:
- Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle
- Aquisição Remota: dados voláteis, memória, discos, artefatos específicos
- Processamento Distribuído: DNA -> FTK 3.x -> AD LAB
- Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
23. 4 - Melhoria de Performance
CriptoAnálise – FRED-SC + EDPR - CUDA
24. Avanços Tecnológicos - Triagem
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:
5 – melhor triagem antes da coleta de dados
- Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform
- Na ponta – Encase Portable
- Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
25. 5 – Melhor Triagem: ex 1 – em campo
EnCase
Portable
USB – 4GB
PenDrive/Disco – 1 Gb- > 2Tb
4-Port USB
Dongle / (Security key) Hub
26. 5 - Melhor Triagem: ex 2 – remota
Servlets Installed
on Computers
27. Avanços Tecnológicos
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
- hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block
- indexação de textos em imagens (OCR)
- Super Timelines (log2timeline – Kristinn Guðjónsson):
Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV /
OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira /
Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
28. Evolução de Técnicas de Análise - Hashes
Uso de Hashes Criptográficos
- arquivo de evidencia .e01 vs .dd:
- arquivos (md5/sha1/sha256):
whitelisting (NIST NSRL / AD KFF)
blacklisting (Bit9, Gargoyle)
- Outros tipos de Hashing:
Fuzzy hashing | File block hash analysis | Entropy
32. Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados
- Taxonomia Incidentes
- Atribuição de Origem (Táticas, Técnicas e Procedimentos)
- Indicadores de Comprometimento - OpenIOC
- Framework de Compartilhamento de dados - VerIS
33. Taxonomia – Evento/Ataque/Incidente
INCIDENTE / CRIME
ATAQUE / VIOLAÇÃO
EVENTO
Resultado não
Agente Ferramentas Falha Ação Alvo autorizado Objetivos
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf
34. Análise de Incidentes - TTPs
Táticas, Técnicas, e Procedimentos
Mike Cloppert – Lockheed Martin