SlideShare uma empresa Scribd logo
Avanços Tecnológicos em
Perícia Computacional e Resposta a Incidentes



                  Sandro Süffert,
            CTO Techbiz Forense Digital


                http://blog.suffert.com
ICCyber 2007: SOC BrT (Guarujá)     ICCyber 2008: Processos Investigação (RJ)




ICCyber 2009: RoadMap AD, GS (Natal)


                                               ICCyber 2010
                                            Avanços Tecnológicos
                                                  (Brasília)
A TechBiz Forense Digital faz parte do grupo TechBiz,
             que tem 15 anos de história.
 Sediada em São Paulo, a TechBiz Forense Digital tem
escritórios em Belo Horizonte, Rio de Janeiro, Brasília
                    e Florianópolis
Torna-se 1º Guidance
                                                                            Authorized PSD (Professional
                                                                            Services Division) no mundo
                                 Início formal das operações,                                                       Duplicação do Time de
                                    com escritório em Belo                                                        Profissionais para atender o
                                     Horizonte e São Paulo
                                                                2007                2008                   2009
                                                                                                                          Brasil inteiro

   Fundação da                             2006           Novos escritórios em                                                2010
TechBiz Informática                                                                                 Distribuidora exclusiva
   1995               2005                              Brasília e Rio de Janeiro
                                                                                                        de Access Data,
                                                                                                     ArcSight, NetWitness




               TechBiz Forense Digital é
                      concebida                                                     Executa o maior projeto
                                                                                      mundial de Encase
                Distribuidora Exclusiva                                                    Forensics
                  Guidance Software,                       Distribuidora exclusiva
                 Intelligent Computer                     Digital Intelligence, LTU
                       Solutions,                       Technologies, Veresoftware,
                   MicroSystemation                         Wiebetech, Tableau
Avanços Tecnológicos em
          Perícia Computacional e Resposta a Incidentes

AGENDA:

  1 – aumento do tamanho das mídias

  2 – aumento das fontes de dados

  3 – novidades tecnológicas

  4 – melhorias de performance de ferramentas

  5 – melhor triagem antes da coleta de dados

  6 – evolução de técnicas de análise

  7 – melhorias na taxonomia e compartilhamento de dados
Resposta a Incidentes e Forense
Computacional – Abordagem Híbrida




“Computer Forensics: Results of Live
Response Inquiry vs Memory Image Analysis”
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs) a serem analisadas:

  - Lei de Moore -> número de transistores de chips dobram a cada 18 meses

  - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses

       - velocidade de acesso à disco (I/O) não cresce tão rapidamente..
       - maioria dos hds possuem mais de um milhão de itens
       - indexação, carving, análise de assinatura
1 – aumento do tamanho das mídias (HDs)




Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
1 – aumento do tamanho das mídias (HDs)
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados a serem analisadas:

  - Análise de mídias removíveis
  - Análise de computadores remotos
  - Análise de memória
  - Análise de sessões de rede
  - Análise de registros/logs e auditoria
  - Análise de dispositivos móveis
  - outros: ebook readers, mp3 players, GPS,video-games, TVs,
  ...
2 – aumento das fontes de dados

                          + d a d o s                       + c o m p l e x i d a d e

HD:        Bit    Byte         Setor      Cluster                 Arquivo
           1      8bits        512B       8 setores / 4kb         1-n clusters




Memória:   Bit    Byte         Página      Thread                 Processo
           1      8bits        4kB         n páginas              n threads




Rede:      Bit     Byte        Pacote     Stream                  Sessão
           1       8bits        n bytes   n pacotes               n streams
Outras Fontes de Dados:
Análise de Memória – ex 1 (pdgmail.py)
Outras Fontes de Dados:
Análise de Memória – ex 2 (Ftk 3.x)
Outras Fontes de Dados:
Análise de Memória – ex 3 (HBGary Responder)
Outras Fontes de Dados
Análise de Sessões de Rede – ex. 4
Outras Fontes de Dados
Análise de Sessões de Rede
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs) a serem analisadas:
2 – aumento das fontes de dados a serem analisadas:
3 – necessidade de adequação diante de novidades tecnológicas

     - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, ..

     - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => Suporte FTK 3.2 / Encase 7

     - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade

     - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnológicas:
               Novos sistemas operacionais – ex 1 (Win 7)
Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist

Windows XP – UserAssist:
Cifra - ROT13 (A->N, B->O, ...)
Inicia o contador em 5.

Windows 7/2008 beta – UserAssist:
Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)

Windows 7/2008 – UserAssist:
Cifra – ROT13 / inicia o contador em 0.
Novidades Tecnológicas:
              Novos sistemas de arquivo – ex 2 (ext4)


Análise dos metadados de MAC Times (Modificação, Acesso e Criação)

Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer
Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time
Limite: 03:14:07 de 19 de janeiro de 2038 (+1s => ano 1901)
bits: 1111111111111111111111111111111

ext4 – lançado em 25 de dezembro de 2008, estende timestamps para
  nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do
  “expanded timestamp”, aumentando o limite para o ano 2242.

Suporte completo a ext4: FTK 3.2 (beta) e Encase 7 (n/d)
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:

     - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle

     - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos

     - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB

     - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
4 - Melhoria de Performance
BackEnd Oracle / Processamento Distribuído – FTK
4 - Melhoria de Performance
CriptoAnálise – FRED-SC + EDPR - CUDA
Avanços Tecnológicos - Triagem


1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:
5 – melhor triagem antes da coleta de dados

   - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform

   - Na ponta – Encase Portable

   - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
5 – Melhor Triagem: ex 1 – em campo




EnCase
Portable
USB – 4GB




PenDrive/Disco – 1 Gb- > 2Tb

                                              4-Port USB
                    Dongle / (Security key)   Hub
5 - Melhor Triagem: ex 2 – remota




                            Servlets Installed
                            on Computers
Avanços Tecnológicos


1   –   aumento do tamanho das mídias
2   –   aumento das fontes de dados
3   –   novidades tecnológicas
4   –   melhorias de performance de ferramentas
5   –   melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise

        - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block

        - indexação de textos em imagens (OCR)

        - Super Timelines (log2timeline – Kristinn Guðjónsson):
               Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV /
               OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira /
               Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
Evolução de Técnicas de Análise - Hashes


Uso de Hashes Criptográficos

- arquivo de evidencia .e01 vs .dd:

- arquivos (md5/sha1/sha256):
    whitelisting (NIST NSRL / AD KFF)
    blacklisting (Bit9, Gargoyle)



- Outros tipos de Hashing:

Fuzzy hashing | File block hash analysis | Entropy
Fuzzy Hashing


- ssdeep – Jesse Kornblum -   http://ssdeep.sourceforge.net




- FTK 3.x
Hashes - Entropy
File Block Hash Analysis




https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados

   - Taxonomia Incidentes
   - Atribuição de Origem (Táticas, Técnicas e Procedimentos)
   - Indicadores de Comprometimento - OpenIOC
   - Framework de Compartilhamento de dados - VerIS
Taxonomia – Evento/Ataque/Incidente


INCIDENTE / CRIME

         ATAQUE / VIOLAÇÃO

                               EVENTO

                                                       Resultado não
Agente   Ferramentas   Falha    Ação       Alvo         autorizado        Objetivos




                                                  John D. Howard e Thomas A. Longstaff
                                        A Common Language for Computer Security Incidents
                                         http://www.cert.org/research/taxonomy_988667.pdf
Análise de Incidentes - TTPs
                                  Táticas, Técnicas, e Procedimentos




Mike Cloppert – Lockheed Martin
Indicators of Compromise - OpenIOC




       http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Táticas, Técnicas e Procedimentos
             VerIS – Incident Sharing - Framework




http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
Utilização do compartilhamento de dados
    Análise de Sessões de Rede – ex. ?
Obrigado!




      Sandro Süffert,
CTO Techbiz Forense Digital


    http://blog.suffert.com
Parceiros de Tecnologia

Mais conteúdo relacionado

Destaque

Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffert
Sandro Suffert
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010
Sandro Suffert
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...
Sandro Suffert
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012   sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012   sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Sandro Suffert
 
2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public
Sandro Suffert
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016
Sandro Suffert
 
Uma abordagem sobre pavimentos rígidos
Uma abordagem sobre pavimentos rígidosUma abordagem sobre pavimentos rígidos
Uma abordagem sobre pavimentos rígidos
Eduardo Cândido
 
Ex calc laje
Ex calc lajeEx calc laje
Ex calc laje
EDER OLIVEIRA
 
A importância do fck de projeto
A importância do fck de projetoA importância do fck de projeto
A importância do fck de projeto
Egydio Hervé Neto
 
Viga em t
Viga em tViga em t
Viga em t
Thiago soares
 
Propriedades do Concreto - Materiais de Construção
Propriedades do Concreto - Materiais de ConstruçãoPropriedades do Concreto - Materiais de Construção
Propriedades do Concreto - Materiais de Construção
David Grubba
 
3 FunçòEs Inorganicas
3 FunçòEs Inorganicas3 FunçòEs Inorganicas
3 FunçòEs Inorganicas
Raquel Gastao Daniel
 

Destaque (12)

Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffert
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012   sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012   sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
 
2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016
 
Uma abordagem sobre pavimentos rígidos
Uma abordagem sobre pavimentos rígidosUma abordagem sobre pavimentos rígidos
Uma abordagem sobre pavimentos rígidos
 
Ex calc laje
Ex calc lajeEx calc laje
Ex calc laje
 
A importância do fck de projeto
A importância do fck de projetoA importância do fck de projeto
A importância do fck de projeto
 
Viga em t
Viga em tViga em t
Viga em t
 
Propriedades do Concreto - Materiais de Construção
Propriedades do Concreto - Materiais de ConstruçãoPropriedades do Concreto - Materiais de Construção
Propriedades do Concreto - Materiais de Construção
 
3 FunçòEs Inorganicas
3 FunçòEs Inorganicas3 FunçòEs Inorganicas
3 FunçòEs Inorganicas
 

Semelhante a Iccyber 2010 - Sandro Süffert Avanços Tecnológicos

Big data e mineração de dados
Big data e mineração de dadosBig data e mineração de dados
Big data e mineração de dados
Elton Meira
 
Palestra: Cientista de Dados – Dominando o Big Data com Software Livre
Palestra: Cientista de Dados – Dominando o Big Data com Software LivrePalestra: Cientista de Dados – Dominando o Big Data com Software Livre
Palestra: Cientista de Dados – Dominando o Big Data com Software Livre
Ambiente Livre
 
BIGDATA: Da teoria à Pratica
BIGDATA: Da teoria à PraticaBIGDATA: Da teoria à Pratica
BIGDATA: Da teoria à Pratica
Daniel Checchia
 
Fábrica de Software da Procempa - Palestra no 6o Fórum Internacional Software...
Fábrica de Software da Procempa - Palestra no 6o Fórum Internacional Software...Fábrica de Software da Procempa - Palestra no 6o Fórum Internacional Software...
Fábrica de Software da Procempa - Palestra no 6o Fórum Internacional Software...
Éberli Cabistani Riella
 
Plataforma de BigData da Globo.com (Sistema de Recomendação) @ Rio BigData Me...
Plataforma de BigData da Globo.com (Sistema de Recomendação) @ Rio BigData Me...Plataforma de BigData da Globo.com (Sistema de Recomendação) @ Rio BigData Me...
Plataforma de BigData da Globo.com (Sistema de Recomendação) @ Rio BigData Me...
Ciro Cavani
 
TDC 2017 - Borg até o Prometheus: Site Reliability Engineering
TDC 2017 - Borg até o Prometheus: Site Reliability EngineeringTDC 2017 - Borg até o Prometheus: Site Reliability Engineering
TDC 2017 - Borg até o Prometheus: Site Reliability Engineering
Felipe Klerk Signorini
 
Petic Emgetis
Petic EmgetisPetic Emgetis
Petic Emgetis
netimba
 
Bigadata casese opotunidades
Bigadata casese opotunidadesBigadata casese opotunidades
Bigadata casese opotunidades
Alessandro Binhara
 
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Roberto Soares
 
Software DSpace 3 de 4
Software DSpace 3 de 4Software DSpace 3 de 4
Software DSpace 3 de 4
Miguel Angel Mardero Arellano
 
Gerenciamento e automatização de configuração de uma infraestrutura com Puppet
Gerenciamento e automatização de configuração de uma infraestrutura com PuppetGerenciamento e automatização de configuração de uma infraestrutura com Puppet
Gerenciamento e automatização de configuração de uma infraestrutura com Puppet
Aécio Pires
 
Apresentacao ENOS 2007
Apresentacao ENOS 2007Apresentacao ENOS 2007
Apresentacao ENOS 2007
Bruno Santos
 
Palestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdfPalestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdf
Gustavo Ferreira Palma
 
Sql Server
Sql ServerSql Server
Sql Server
Sabrina Mariana
 
Big Data
Big DataBig Data
Big Data
Sandro Servino
 
INE5643 - Aula 10a - Utilizando o Pentaho.pdf
INE5643 - Aula 10a - Utilizando o Pentaho.pdfINE5643 - Aula 10a - Utilizando o Pentaho.pdf
INE5643 - Aula 10a - Utilizando o Pentaho.pdf
ssuseref058e
 
CACTI - Network Graphing Solution
CACTI - Network Graphing SolutionCACTI - Network Graphing Solution
CACTI - Network Graphing Solution
Vitor Ivan D'Angelo
 
Provas de Informática Comentadas para o Concurso do INSS
Provas de Informática Comentadas para o Concurso do INSSProvas de Informática Comentadas para o Concurso do INSS
Provas de Informática Comentadas para o Concurso do INSS
Estratégia Concursos
 
BigData e internte das coisas aplicada a engenharia
BigData e internte das coisas aplicada a engenhariaBigData e internte das coisas aplicada a engenharia
BigData e internte das coisas aplicada a engenharia
Alessandro Binhara
 
BIG DATA & IoT: Tecnologias e  Aplicações
BIG DATA & IoT: Tecnologias e  AplicaçõesBIG DATA & IoT: Tecnologias e  Aplicações
BIG DATA & IoT: Tecnologias e  Aplicações
Alessandro Binhara
 

Semelhante a Iccyber 2010 - Sandro Süffert Avanços Tecnológicos (20)

Big data e mineração de dados
Big data e mineração de dadosBig data e mineração de dados
Big data e mineração de dados
 
Palestra: Cientista de Dados – Dominando o Big Data com Software Livre
Palestra: Cientista de Dados – Dominando o Big Data com Software LivrePalestra: Cientista de Dados – Dominando o Big Data com Software Livre
Palestra: Cientista de Dados – Dominando o Big Data com Software Livre
 
BIGDATA: Da teoria à Pratica
BIGDATA: Da teoria à PraticaBIGDATA: Da teoria à Pratica
BIGDATA: Da teoria à Pratica
 
Fábrica de Software da Procempa - Palestra no 6o Fórum Internacional Software...
Fábrica de Software da Procempa - Palestra no 6o Fórum Internacional Software...Fábrica de Software da Procempa - Palestra no 6o Fórum Internacional Software...
Fábrica de Software da Procempa - Palestra no 6o Fórum Internacional Software...
 
Plataforma de BigData da Globo.com (Sistema de Recomendação) @ Rio BigData Me...
Plataforma de BigData da Globo.com (Sistema de Recomendação) @ Rio BigData Me...Plataforma de BigData da Globo.com (Sistema de Recomendação) @ Rio BigData Me...
Plataforma de BigData da Globo.com (Sistema de Recomendação) @ Rio BigData Me...
 
TDC 2017 - Borg até o Prometheus: Site Reliability Engineering
TDC 2017 - Borg até o Prometheus: Site Reliability EngineeringTDC 2017 - Borg até o Prometheus: Site Reliability Engineering
TDC 2017 - Borg até o Prometheus: Site Reliability Engineering
 
Petic Emgetis
Petic EmgetisPetic Emgetis
Petic Emgetis
 
Bigadata casese opotunidades
Bigadata casese opotunidadesBigadata casese opotunidades
Bigadata casese opotunidades
 
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
 
Software DSpace 3 de 4
Software DSpace 3 de 4Software DSpace 3 de 4
Software DSpace 3 de 4
 
Gerenciamento e automatização de configuração de uma infraestrutura com Puppet
Gerenciamento e automatização de configuração de uma infraestrutura com PuppetGerenciamento e automatização de configuração de uma infraestrutura com Puppet
Gerenciamento e automatização de configuração de uma infraestrutura com Puppet
 
Apresentacao ENOS 2007
Apresentacao ENOS 2007Apresentacao ENOS 2007
Apresentacao ENOS 2007
 
Palestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdfPalestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdf
 
Sql Server
Sql ServerSql Server
Sql Server
 
Big Data
Big DataBig Data
Big Data
 
INE5643 - Aula 10a - Utilizando o Pentaho.pdf
INE5643 - Aula 10a - Utilizando o Pentaho.pdfINE5643 - Aula 10a - Utilizando o Pentaho.pdf
INE5643 - Aula 10a - Utilizando o Pentaho.pdf
 
CACTI - Network Graphing Solution
CACTI - Network Graphing SolutionCACTI - Network Graphing Solution
CACTI - Network Graphing Solution
 
Provas de Informática Comentadas para o Concurso do INSS
Provas de Informática Comentadas para o Concurso do INSSProvas de Informática Comentadas para o Concurso do INSS
Provas de Informática Comentadas para o Concurso do INSS
 
BigData e internte das coisas aplicada a engenharia
BigData e internte das coisas aplicada a engenhariaBigData e internte das coisas aplicada a engenharia
BigData e internte das coisas aplicada a engenharia
 
BIG DATA & IoT: Tecnologias e  Aplicações
BIG DATA & IoT: Tecnologias e  AplicaçõesBIG DATA & IoT: Tecnologias e  Aplicações
BIG DATA & IoT: Tecnologias e  Aplicações
 

Iccyber 2010 - Sandro Süffert Avanços Tecnológicos

  • 1. Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com
  • 2. ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ) ICCyber 2009: RoadMap AD, GS (Natal) ICCyber 2010 Avanços Tecnológicos (Brasília)
  • 3. A TechBiz Forense Digital faz parte do grupo TechBiz, que tem 15 anos de história. Sediada em São Paulo, a TechBiz Forense Digital tem escritórios em Belo Horizonte, Rio de Janeiro, Brasília e Florianópolis
  • 4. Torna-se 1º Guidance Authorized PSD (Professional Services Division) no mundo Início formal das operações, Duplicação do Time de com escritório em Belo Profissionais para atender o Horizonte e São Paulo 2007 2008 2009 Brasil inteiro Fundação da 2006 Novos escritórios em 2010 TechBiz Informática Distribuidora exclusiva 1995 2005 Brasília e Rio de Janeiro de Access Data, ArcSight, NetWitness TechBiz Forense Digital é concebida Executa o maior projeto mundial de Encase Distribuidora Exclusiva Forensics Guidance Software, Distribuidora exclusiva Intelligent Computer Digital Intelligence, LTU Solutions, Technologies, Veresoftware, MicroSystemation Wiebetech, Tableau
  • 5.
  • 6. Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes AGENDA: 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados
  • 7. Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
  • 8. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
  • 9. 1 – aumento do tamanho das mídias (HDs) Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
  • 10. 1 – aumento do tamanho das mídias (HDs)
  • 11. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados a serem analisadas: - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs e auditoria - Análise de dispositivos móveis - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
  • 12. 2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • 13. Outras Fontes de Dados: Análise de Memória – ex 1 (pdgmail.py)
  • 14. Outras Fontes de Dados: Análise de Memória – ex 2 (Ftk 3.x)
  • 15. Outras Fontes de Dados: Análise de Memória – ex 3 (HBGary Responder)
  • 16. Outras Fontes de Dados Análise de Sessões de Rede – ex. 4
  • 17. Outras Fontes de Dados Análise de Sessões de Rede
  • 18. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: 2 – aumento das fontes de dados a serem analisadas: 3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => Suporte FTK 3.2 / Encase 7 - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  • 19. Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP – UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta – UserAssist: Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 – UserAssist: Cifra – ROT13 / inicia o contador em 0.
  • 20. Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242. Suporte completo a ext4: FTK 3.2 (beta) e Encase 7 (n/d)
  • 21. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
  • 22. 4 - Melhoria de Performance BackEnd Oracle / Processamento Distribuído – FTK
  • 23. 4 - Melhoria de Performance CriptoAnálise – FRED-SC + EDPR - CUDA
  • 24. Avanços Tecnológicos - Triagem 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: 5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  • 25. 5 – Melhor Triagem: ex 1 – em campo EnCase Portable USB – 4GB PenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
  • 26. 5 - Melhor Triagem: ex 2 – remota Servlets Installed on Computers
  • 27. Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block - indexação de textos em imagens (OCR) - Super Timelines (log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  • 28. Evolução de Técnicas de Análise - Hashes Uso de Hashes Criptográficos - arquivo de evidencia .e01 vs .dd: - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - Outros tipos de Hashing: Fuzzy hashing | File block hash analysis | Entropy
  • 29. Fuzzy Hashing - ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x
  • 31. File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
  • 32. Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem (Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
  • 33. Taxonomia – Evento/Ataque/Incidente INCIDENTE / CRIME ATAQUE / VIOLAÇÃO EVENTO Resultado não Agente Ferramentas Falha Ação Alvo autorizado Objetivos John D. Howard e Thomas A. Longstaff A Common Language for Computer Security Incidents http://www.cert.org/research/taxonomy_988667.pdf
  • 34. Análise de Incidentes - TTPs Táticas, Técnicas, e Procedimentos Mike Cloppert – Lockheed Martin
  • 35. Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
  • 36. Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Framework http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
  • 37. Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
  • 38. Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com