debian-rs, profile picture
Carregado pordebian-rs
PPT, PDF1,619 visualizações

Uso de ferramentas OpenSource para Análise Forense (pós mortem)

O documento discute conceitos de forense computacional, apresentando suas etapas e metodologias como live forensics e post mortem forensics. Também apresenta ferramentas como Sleuth Kit, Foremost e Wireshark usadas para análise forense digital de sistemas de arquivos, busca de arquivos e rede.

Incorporar apresentação

Baixado 83 vezes
1
Sumário Apresentação Institucional Conceitos de Forense Metodologia Live forensics Post mortem forensics Ferramentas Teste Prático 2
Institucional Fundada em 2003 com Foco em Soluções de Rede e Conectividade em Ambiente OpenSource - Gnu/Linux A partir de 2005 nos tornamos uma empresa de Consultoria em Segurança da Informação, Governança de TI, Processos Organizacionais e Auditoria; Equipe de Especialistas formada por Profissionais Experientes e com as principais Certificações do Mercado. 3
Serviços & Produtos 4
Consultoria e Auditoria de TI Gestão de Serviços de TI – ITIL V3 Segurança da Informação – ISO 27001 Governança de TI e Planejamento Estratégico (BSC e COBIT) Gerenciamento de Projetos – PMI Gestão de Risco e Continuidade de Negócios InfraEstrutura de TI 5
Capacitação Treinamentos In-Company e em nossa Sede. Gnu/Linux Preparatório para Certificação Governança de TI ITIL e COBIT Gerenciamento de Projetos Administração de InfraEstrutura de TI 6
Serviços Centro de Gerência de Rede (NOC) - 24x7x365 Gap Analisys Análise de Conformidade com Normas Internacionais: SOX, Basileia, ISO e BS Virtualização de Servidores XEN e VmWare Serviços de Suporte: Implantação e Configuração de Servidores Gnu/Linux (Debian) 7
Vamos ao que interessa … 8
Conceitos de Forense Computacional 9 É uma Ciência Interdisciplinar Utilizada para investigações digitais Tem como principal objetivo a compreensão dos eventos ocorridos e para tanto aplica as etapas da forense clássica Alguns cenários de aplicação: Espionagem industrial Crimes de fraude Investigação de pedofilia Invasão de sistemas … etc
Etapas da Forense Clássica 10
Etapas da Forense Computacional Coleta dos Dados Planejamento Volatilidade Esforço Valor estimado Coleta Como evitar a poluição do artefato/fonte? Garantia de Integridade Uso de algorítimos de hash (MD5, SHA256, Crypt) 11
Etapas da Forense Computacional Exame dos dados Automatização através de ferramentas Uso de Expressões regulares Exige tempo e conhecimento técnico Análise dos dados obtidos Depende do que fator causador Correlação de eventos e datas Pode retornar a etapa anterior dependendo do encontrado Resultados obtidos Gera o Laudo Pericial 12
Metodologias Post mortem foresics Ocorre após o incidente ou crime Não há coleta de dados voláteis Responde por 99% dos casos Live forensics Coleta de informações “ on the fly ” Coleta de dados voláteis: Conexões estabelecidas, processos em execução, portas abertas, tabela de roteamento Dados sendo trafegados, logs, histórico de comandos Conteúdo da memória, imagem do disco rígido 13
Metodologias Principais diferenças Em Live deve-se tomar cuidado em não alterar ou modificar os dados Em Live comandos do sistema podem ter sido alterados Rootkits podem ter sido instalados e mascarar o resultado da coleta: Gerar dados errados ou omitir outros. A confiança no resultado da coleta é fator muito relevante entre Live e Post-mortem forensics. 14 Na Live Foresnics, qual o melhor procedimento para desligar o sistema? Puxar o cabo de força ou desligar usando o processo normal?
Ferramentas Existem dezenas de ferramentas; A grande maioria roda em sistemas Gnu/Linux e existem pacotes .deb (Debian); Distribuições Linux especializadas em Segurança da Informação: SIFT (SANS Investigate Forense Toolkit) CAINE (Computer Aided Investigative Environment) DEFT Linux (voltado para Forense Digital) Helix 3 - Efense Backktrack 5(voltado para testes de penetração) 15
Ferramentas Sleuth Kit - Análise de Sistemas de arquivos Foremost/scalpel – busca de arquivos ( carving ) Ssdeep/md5deep – hash Wireshark – network forensics Pasco – examina os dados do IE Rifiuti2 – verifica arquivo do Recycle Bin PTK / Autopsy – Interface para o sleuth kit Rdd – com o que falta para o dd PyFlag – ambiente completo para forense digital 16
Teste Prático Post mortem forensics; Examinando a imagem de um disquete e de um dump da memória Ram; Usando: rdd, foremost, sleuthkit, autopsy 17
Obrigado 18 Leandro Godoy [email_address] IT Consultant

Mais conteúdo relacionado

PDF
Forense Remota utilizando ferramentas Open Source
porJulio Cesar Roque Benatto
 
PDF
Forense em SmartPhone e uma Introdução a Computação Forense.
porJulio Cesar Roque Benatto
 
ODP
Forense Digital Utilizando o Ubuntu FDTK
porLinux User Goup Alagoas
 
PDF
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
porGustavo Rodrigues Ramos
 
DOC
Curso hacking com BT5
porCassio Ramos
 
PDF
Ferramentas de Segurança
porAlefe Variani
 
PPTX
Pentest Invasão e Defesa - AnonFeh
porPhillipe Martins
 
PPT
Snort "O sniffer"
porLeonardo Damasceno
 
Forense Remota utilizando ferramentas Open Source
porJulio Cesar Roque Benatto
 
Forense em SmartPhone e uma Introdução a Computação Forense.
porJulio Cesar Roque Benatto
 
Forense Digital Utilizando o Ubuntu FDTK
porLinux User Goup Alagoas
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
porGustavo Rodrigues Ramos
 
Curso hacking com BT5
porCassio Ramos
 
Ferramentas de Segurança
porAlefe Variani
 
Pentest Invasão e Defesa - AnonFeh
porPhillipe Martins
 
Snort "O sniffer"
porLeonardo Damasceno
 

Semelhante a Uso de ferramentas OpenSource para Análise Forense (pós mortem)

PDF
Análise Forense Computacional
porThiago Finardi
 
PDF
Forense Computacional com Software Livre
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Crimes Digitais e a Computacao Forense
porVaine Luiz Barreira, MBA
 
PDF
Forense Computacional Introdução
portonyrodrigues
 
PDF
Palestra Sobre Perícia e Investigação Digital
porDeivison Pinheiro Franco.·.
 
PDF
PERÍCIA FORENSE APLICADA EM SERVIDORES NOS PADRÕES DA PLATAFORMA UNIX
porJulian Lennon Gonçalves de Souza Leite
 
PDF
Apresentação sobre os serviços do RSI
porRicardo Cavalcante
 
PDF
Perícia Forense com FDTK - FLISOL DF 2010
porAlcyon Ferreira de Souza Junior, MSc
 
PPT
Forense Computacional
porrenanwb
 
PPT
1ª aula forense computacional
porJoão Freire Abramowicz
 
PPTX
Computação forense
porRamyres Aquino
 
PPTX
Palestra CGU - BSB Jan/2012
porLuiz Sales Rabelo
 
DOC
Sistematização de estratégia de defesa e ataque
porUrsao Go
 
PPTX
Palestra MPDF BSB Mar/2012
porLuiz Sales Rabelo
 
PDF
Forense_Computacional(UFPE).pdf
porFelipeBarreto98
 
PPT
Emran.ppt
porssuserc3cd74
 
PPT
Forense computacional - Estudos Praticos
porData Security
 
PDF
Computação Forense 0800 Tony Rodrigues
portonyrodrigues
 
PDF
Forense computacional(ufpe)[1]
porJorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
PPTX
Ferramentas para Resposta a Incidentes - ago12
porLuiz Sales Rabelo
 
Análise Forense Computacional
porThiago Finardi
 
Forense Computacional com Software Livre
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Crimes Digitais e a Computacao Forense
porVaine Luiz Barreira, MBA
 
Forense Computacional Introdução
portonyrodrigues
 
Palestra Sobre Perícia e Investigação Digital
porDeivison Pinheiro Franco.·.
 
PERÍCIA FORENSE APLICADA EM SERVIDORES NOS PADRÕES DA PLATAFORMA UNIX
porJulian Lennon Gonçalves de Souza Leite
 
Apresentação sobre os serviços do RSI
porRicardo Cavalcante
 
Perícia Forense com FDTK - FLISOL DF 2010
porAlcyon Ferreira de Souza Junior, MSc
 
Forense Computacional
porrenanwb
 
1ª aula forense computacional
porJoão Freire Abramowicz
 
Computação forense
porRamyres Aquino
 
Palestra CGU - BSB Jan/2012
porLuiz Sales Rabelo
 
Sistematização de estratégia de defesa e ataque
porUrsao Go
 
Palestra MPDF BSB Mar/2012
porLuiz Sales Rabelo
 
Forense_Computacional(UFPE).pdf
porFelipeBarreto98
 
Emran.ppt
porssuserc3cd74
 
Forense computacional - Estudos Praticos
porData Security
 
Computação Forense 0800 Tony Rodrigues
portonyrodrigues
 
Forense computacional(ufpe)[1]
porJorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
Ferramentas para Resposta a Incidentes - ago12
porLuiz Sales Rabelo
 

Uso de ferramentas OpenSource para Análise Forense (pós mortem)

  • 1.
  • 2.
    Sumário Apresentação InstitucionalConceitos de Forense Metodologia Live forensics Post mortem forensics Ferramentas Teste Prático 2
  • 3.
    Institucional Fundada em2003 com Foco em Soluções de Rede e Conectividade em Ambiente OpenSource - Gnu/Linux A partir de 2005 nos tornamos uma empresa de Consultoria em Segurança da Informação, Governança de TI, Processos Organizacionais e Auditoria; Equipe de Especialistas formada por Profissionais Experientes e com as principais Certificações do Mercado. 3
  • 4.
  • 5.
    Consultoria e Auditoriade TI Gestão de Serviços de TI – ITIL V3 Segurança da Informação – ISO 27001 Governança de TI e Planejamento Estratégico (BSC e COBIT) Gerenciamento de Projetos – PMI Gestão de Risco e Continuidade de Negócios InfraEstrutura de TI 5
  • 6.
    Capacitação Treinamentos In-Company e em nossa Sede. Gnu/Linux Preparatório para Certificação Governança de TI ITIL e COBIT Gerenciamento de Projetos Administração de InfraEstrutura de TI 6
  • 7.
    Serviços Centro deGerência de Rede (NOC) - 24x7x365 Gap Analisys Análise de Conformidade com Normas Internacionais: SOX, Basileia, ISO e BS Virtualização de Servidores XEN e VmWare Serviços de Suporte: Implantação e Configuração de Servidores Gnu/Linux (Debian) 7
  • 8.
    Vamos ao queinteressa … 8
  • 9.
    Conceitos de ForenseComputacional 9 É uma Ciência Interdisciplinar Utilizada para investigações digitais Tem como principal objetivo a compreensão dos eventos ocorridos e para tanto aplica as etapas da forense clássica Alguns cenários de aplicação: Espionagem industrial Crimes de fraude Investigação de pedofilia Invasão de sistemas … etc
  • 10.
    Etapas da ForenseClássica 10
  • 11.
    Etapas da ForenseComputacional Coleta dos Dados Planejamento Volatilidade Esforço Valor estimado Coleta Como evitar a poluição do artefato/fonte? Garantia de Integridade Uso de algorítimos de hash (MD5, SHA256, Crypt) 11
  • 12.
    Etapas da ForenseComputacional Exame dos dados Automatização através de ferramentas Uso de Expressões regulares Exige tempo e conhecimento técnico Análise dos dados obtidos Depende do que fator causador Correlação de eventos e datas Pode retornar a etapa anterior dependendo do encontrado Resultados obtidos Gera o Laudo Pericial 12
  • 13.
    Metodologias Post mortemforesics Ocorre após o incidente ou crime Não há coleta de dados voláteis Responde por 99% dos casos Live forensics Coleta de informações “ on the fly ” Coleta de dados voláteis: Conexões estabelecidas, processos em execução, portas abertas, tabela de roteamento Dados sendo trafegados, logs, histórico de comandos Conteúdo da memória, imagem do disco rígido 13
  • 14.
    Metodologias Principais diferençasEm Live deve-se tomar cuidado em não alterar ou modificar os dados Em Live comandos do sistema podem ter sido alterados Rootkits podem ter sido instalados e mascarar o resultado da coleta: Gerar dados errados ou omitir outros. A confiança no resultado da coleta é fator muito relevante entre Live e Post-mortem forensics. 14 Na Live Foresnics, qual o melhor procedimento para desligar o sistema? Puxar o cabo de força ou desligar usando o processo normal?
  • 15.
    Ferramentas Existem dezenasde ferramentas; A grande maioria roda em sistemas Gnu/Linux e existem pacotes .deb (Debian); Distribuições Linux especializadas em Segurança da Informação: SIFT (SANS Investigate Forense Toolkit) CAINE (Computer Aided Investigative Environment) DEFT Linux (voltado para Forense Digital) Helix 3 - Efense Backktrack 5(voltado para testes de penetração) 15
  • 16.
    Ferramentas Sleuth Kit - Análise de Sistemas de arquivos Foremost/scalpel – busca de arquivos ( carving ) Ssdeep/md5deep – hash Wireshark – network forensics Pasco – examina os dados do IE Rifiuti2 – verifica arquivo do Recycle Bin PTK / Autopsy – Interface para o sleuth kit Rdd – com o que falta para o dd PyFlag – ambiente completo para forense digital 16
  • 17.
    Teste Prático Postmortem forensics; Examinando a imagem de um disquete e de um dump da memória Ram; Usando: rdd, foremost, sleuthkit, autopsy 17
  • 18.
    Obrigado 18 LeandroGodoy [email_address] IT Consultant