2. #whoami
• Tony Rodrigues, CISSP, CFCP, Security+
• 20++ anos em TI
– Desenvolvimento
– Contingência
– Segurança de Informações/Computação Forense
• Perito em DFIR
• Fundador e Pesquisador-Chefe do OctaneLabs
• Blog: http://forcomp.blogspot.com
9. OctaneLabs
• O que é OctaneLabs ???
• Time de Pesquisa Open Source em
Computação Forense e Resposta a
Incidentes
10. OctaneLabs
• Objetivos
• Fomentar a pesquisa em
Computação Forense no Brasil
• Promover Projetos Open Source
com foco em Computação Forense
e Investigação Digital
• Ministrar Treinamentos em CF
• Consultoria, Perícia e Investigação
Digital
13. Agenda
• Computação Forense
• Os maiores problemas da
Computação Forense
• Projeto W@rpSpeed
– Definição
– Tecnologias
– Fases de Desenvolvimento
• Conclusão
14. Aviso de Isenção de
Responsabilidade
As declarações publicadas aqui são
de minha única e exclusiva iniciativa
e não representam, necessariamente,
opinião, estratégia e posicionamento
do meu empregador.
16. • Determinar o 5W1H através dos vestígios
– Who (Quem fez)
– What (O que foi feito)
– Where (Onde foi feito)
– When (Quando foi feito)
– Why (Por quê ?)
– How (Como foi feito)
Computação Forense
17. • Modelo básico de operação
– Coletar fontes de vestígios
– Analisar
– Reportar
• Fontes de Vestígios
– Mídias
– Tráfego de rede (dumps)
– Memória (dumps)
Computação Forense
18. • Principal etapa da perícia ou
investigação
– Localizar e extrair um vestígio;
– Parsing;
• Correlação !!!
– Principal ferramenta técnica
para unir os pontos !
Análise de vestígios
19. • Análise do vestígio
– Leva em conta o formato do dado
– Dá significado a cada parte do vestígio
– Nem sempre o formato tem documentação
oficial
Parsing
22. • Ad Hoc
– Ferramentas de aplicação imediata
• A ferramenta analisa e emite o resultado
– Algumas tem saída gráfica
• Maioria tem saída em texto
• Ex:
– TZWorks: Prefetch parser, LNK parser, Jump
List parser
– Woanware: EseDbViewer, JumpLister,
Shimcacheparser
Parsing
23. • Indexação
– Operam em duas etapas
• Localizam e realizam o parsing de todos os vestígios
• Cada resultado é salvo para posterior exibição
– Maioria tem saída gráfica
– Resultado pode ser consultado inúmeras vezes
• Ex:
– Encase, FTK, ProDiscover Forensic
– Autopsy
Parsing Indexado
42. • Muitos casos ocorrendo e sendo reportados
• Mídias cada vez maiores e mais baratas
• Cada vez mais dispositivos disponíveis e a
custo acessível
• Baixa disponibilidade de peritos
– Proficiência leva tempo
O que temos até aqui ?
48. • Mídias enormes que demandam muito
tempo indexando
• Altíssima demanda de processamento
– Implica custos estratosféricos de laboratório
• Correlação, quando existente, é restrita
– Fornecedores operam em nichos
– Muito complicado, como negócio, manter uma
abordagem tão ampla
O que temos até aqui ?
54. • Problemas com grande impacto e com
tendências de piorar
– Discos continuarão a crescer
– Ataques ficarão cada vez mais complexos
– Prazos nunca serão longos o suficiente
– Cada vez mais dispositivos para alvo e ataques
(lembre-se de IoT)
– Custos dos laboratórios continuarão altos
– Não teremos menos casos
– Formar peritos não ficará mais fácil
Bottom Line
57. • SuperIndexador Forense com Capacidade
de Parsing Distribuída, Multi-correlação e
Análise Assistida
OctaneLabs W@rpSpeed
58. • Conjunto de novas tecnologias forenses
– C.O.R.E
– fLEGIO
– Scalos
– Radar
– TREfayne
– 3Corder
• Objetivo
– Ajudar nos 3 problemas listados
OctaneLabs W@rpSpeed
59. C.O.R.E
• Núcleo da ferramenta de indexação
– Endereça P2
• Responsável por:
– Case Management
– Configurações
– Catálogo de Mídias
– Extratores
– Interfaces
60. C.O.R.E
• Características:
– Multi-imagem Forense
• Incluindo HDs, SSDs e pendrives
– Diferentes formatos de imagens
• AFF, Encase, DD
– Diferentes SOs e Sistemas de arquivos
• Windows, Linux, iOS, Android
– Dumps de memória
– Dumps de rede
61. fLEGIO
• Indexação Forense Distribuída
– “Legião Forense”
– Endereça diretamente P1 e P2
• Responsável por:
– Agentes-Parsers
– Filas de vestígios
– Controle de Erros
– Armazenamento de resultados
– Coordenação dos processos de indexação
62. fLEGIO
• Características:
– Agentes-Parsers executando nas estações
• Processamento distribuído dos vestígios
• Idle Mode
• Overnight Mode
– Agentes Multiplataformas
• Diferentes SOs, incluindo tablets e smartphones
– Comunicação e processamento protegido
– Direcionamento de carga conforme
capacidade de processamento
64. Scalos
• Tecnologia de aceleração de parsers
– Projeto: Uso de GPUs em Computação
Forense
– Uso de RegExp em GPU !
• CUDA grep Project
– Scalos: Star Trek
– Endereça P1 e P2
• Responsável por:
– Executar em GPU códigos parsers
recomendados
65. Scalos
• Características:
– Implementação de parsers com indicação
para GPU
– Agentes-parsers terão performance superior
– Agentes-parsers com capacidade de
adaptação (com/sem GPU, CUDA ou
OpenCL)
66. RADAR
• Núcleo de Correlação Forense
– Endereça P3
• Responsável por:
– Execução de queries no BD de vestígios
– Correlacionar vestígios
– Alertas de anti-forense e ataques
– Browser nas mídias
67. RADAR
• Características:
– Importação de IoCs e Yara
– Criação de Ingests
– Queries ad-hoc
– Correlação entre mídias diversas, incluindo
dumps de rede e memória
– Alertas baseados em queries
68. TREfayne
• Núcleo de Redes Neurais aplicada à
Computação Forense
– Projeto: Uso de Machine Learning em
Computação Forense
– Star Trek: O Organiano Trefayne “muito
intuitivo”
– Endereça P3
• Responsável por:
– Analisar o caso indexado
– Emitir alertas baseados em IA
78. Fases
• Fase 1
– C.O.R.E
• SO Windows
• NTFS
• Extratores de arquivos
• Base: SleuthKit
– fLEGIO
• Estrutura básica dos Agentes-Parsers
• Filas de Entrada e Resultados
• Coordenação dos agentes
• Database
• Parsers básicos
79. Fases
• Fase 1
– Scalos
• Estudo de programação paralela
• CUDA
• OpenCL
– TREfayne
• Estudo dos métodos de treinamento
– RADAR
• Interface de queries
• Estrutura dos Ingests
81. Fases
• Fase 2
– C.O.R.E
• Dumps de Memória
• FAT e Extn
• Extratores de estruturas de memória
– fLEGIO
• Parsers diversos
• Doctor
• Controle de resiliência dos agentes
82. Fases
• Fase 2
– Scalos
• Identificação dos parsers-Scalos
• Identificação de capacidade (GPU - CUDA ou
OpenCL)
• Implementação dos parsers
– TREfayne
• Treinamento e criação da rede neural
• Processo de submissão dos dados à rede neural
83. Fases
• Fase 2
– RADAR
• Implementação dos Ingests
• Importação de IoC
– 3Corder
• Mapeamento de tipo de arquivo pelo setor
• Algoritmo tradicional de carving
84. Fases
• Fase 3
– C.O.R.E
• Dumps de Rede
• MacOS e sistemas de arquivos de Smartphones
• Extratores de estruturas de rede
– fLEGIO
• Parsers diversos
• Parsers adaptados à carga
• Parsers em modo overnight e idle
85. Fases
• Fase 3
– Scalos
• Continuar na implementação de novos parsers
– TREfayne
• Interfaces
86. Fases
• Fase 3
– RADAR
• Implementação dos Ingests
• Importação de Yara
– 3Corder
• Uso de programação paralela
• Algoritmos de validação
87. Concluindo
• Os problemas narrados são reais e
continuarão a acontecer
• W@arpSpeed tem condições de
endereçar cada um dos problemas
• É o mais audacioso projeto de
Computação Forense da atualidade !
– Não fique de fora !