Jefferson Costa tem formação em Eletrônica, Pedagogia e Gestão de Negócios em Informática. Atua há 23 anos como Perito Forense, Ethical Hacker e Consultor de TI, onde analisa o uso da Engenharia Social através de meios cibernéticos. Também é docente há 22 anos.
Minicurso – Forense computacional “Análise de redes”
1.
2. • Jefferson Costa
• Formado em Eletrônica, Pedagogia, Gestão de negócios em
informática.
• Especialista em Segurança da informação, atua como Perito
Forense, Ethical hacker e como consultor de TI há 23 anos,
onde um dos pontos fortes do seu trabalho é analisar o uso
da Engenharia Social através de meios cibernéticos.
• Também é docente da área há 22 anos.
www.jeffersoncosta.com.br
www.youtube.com.br/jcosta20
www.facebook.com.br/jeffersoncosta.com.br
PALESTRANTE
3. NBR ISO/IEC 17799:2005
Segurança da informação é obtida a partir da
implementação de uma série de controles, que podem
ser políticas, práticas, procedimentos, estruturas
organizacionais e funções de software. Estes controles
precisam ser estabelecidos para garantir que os
objetivos de segurança específicos da organização
sejam atendidos.
4. Os atributos básicos são os seguintes:
• Confidencialidade
• Integridade
• Disponibilidade
Segurança da informação
6. • A arte de manipular, enganar ou explorar a confiança das
pessoas
• O termo engenharia social ficou mais conhecido em 1990,
através do famoso hacker Kevin Mitnick
Engenharia Social
7. • Existem dois tipos de ataques de engenharia social, os
ataques diretos e indiretos:
• Ataque direto
• Ataque indireto
Engenharia Social
8. • Coleta de informações
• Desenvolvimento de relacionamento
• Exploração de um relacionamento
• Execução do ataque
Engenharia Social
9. • Spear Pishing
• Fraudes por email
• Erros de digitação
Tipos de engenharia social
Engenharia Social
16. Ciência Forense é a aplicação de um conjunto de
técnicas científicas para responder a questões
relacionadas ao Direito, podendo se aplicar a crimes
ou atos civis. O esclarecimento de crimes é a função
de destaque da prática forense. Através da análise
dos vestígios deixados na cena do crime, os peritos,
especialistas nas mais diversas áreas, conseguem
chegar a um criminoso.
http://www.significados.com.br/forense/
Pericia forense computacional
17. “Todo contato deixa vestígio”
Edmond Locard
Definição: Aquilo que determina ou estabelece a verdade de
um fato ocorrido no ambiente digital
Características:
Dado + Contexto + Fator Tempo
Análise forense
18. • Levantar evidências que contam a história do fato:
• Quando?
• Como?
• Por quê?
• Onde?
Pericia forense computacional
19. Dentre outras:
• Violação de dados
• Roubo / Sequestro de Dados e/ou Negação de Serviço
• E-mails falsos (Phishing Scam, Difamação, Ameaças)
• Transações bancárias (Internet Banking)
• Disseminação de Pragas Virtuais, Pirataria e Pedofilia
• Crimes comuns com evidências em mídias digitais
Motivação
20. O que Coletar?
• Mídias: Hds, pendrives, cds, dvds...
• Dados em memória: “Live Forensics”
• Dados trafegando pela rede
• Dispositivos não convencionais:
• Câmeras digitais, óculos, etc.
Aquisição
21. Em alguns casos é necessário uma Ordem Judicial para se ter
acesso aos dados:
◦ Sistemas de arquivos remotos
◦ Backups em provedores de conteúdo
◦ Servidores corporativos externos
◦ Datacenters internacionais
Tratamento de evidências
22. • Todo o material coletado para análise deve ser detalhadamente
relacionado em um documento (Cadeia de Custódia)
Identificação – Cadeia de Custódia
23. • Endereço IP inválido ou suspeito (endereços reservados ou
conhecidos de outros ataques)
• Portas suspeitas
• Tráfego intenso com pacotes incomuns à rede ou que deveriam estar
desabilitados
• Análise dos pacotes capturados
• Reprodução da sessão capturada
• Reconstrução de arquivos que foram transferidos durante a sessão
capturada (imagens, dados)
Coleta – Análise de Tráfego
24. A alteração de dados pode ser comparada a alteração da cena de
um crime no mundo real.
Impedir alteração da mídia original antes e durante os
procedimentos de aquisição
Assinaturas hash são utilizadas para garantir a integridade dos
dados coletados
Preservação
25. • Sistemas operacionais forenses
• BackTrack
• CAINE
• DEFT
• Forense Digital ToolKit (FDTK)
• Helix
• Knoppix Linux
• PeriBR
• Kali
• Análise de Rede
• tcpdump
• Wireshark
• xplico
Exemplos de ferramentas forenses
27. Um dump é um conjunto de pacotes que trafegam pela rede.
Uma das ferramentas mais comuns para capturar e analisar
dumps é o tcpdump.
http://www.tcpdump.org/
Dump
29. • A ferramenta chamada tcpdump é um sniffer utilizado em sistemas
GNU/Linux. Como todo sniffer, ele é usado para realizar análises de
redes e solucionar problemas, seu funcionamento é bem simples,
bastando apenas conhecer os conceitos básicos de redes TCP/IP.
http://www.vivaolinux.com.br/dica/tcpdump-Monitorando-conexoes/
tcpdump
30. Para capturar pacotes de uma rede:
# tcpdump –v net <IPdaREDE/Bits> –w arquivo.dump
• tcpdump = comando que aciona a ferramenta
• -v = comando usado para visualizar, o andamento dos pacotes capturados.
• net = indica que serão capturados pacotes de toda a rede (ex: 192.168.0.0/24)
• -w = comando que indica que os pacotes serão gravados em um arquivo especifico,
no exemplo de sintaxe acima, o arquivo foi chamado de arquivo.dump.
tcpdump - sintaxe
31. Para capturar pacotes de um computador especifico:
# tcpdump –v host <IP_host> –w arquivo.dump
Onde:
• tcpdump = comando que aciona a ferramenta
• -v = comando usado para visualizar, o andamento dos pacotes capturados.
• host = indica que serão capturados pacotes de uma máquina especifica
• -w = comando que indica que os pacotes serão gravados em um arquivo
especifico, no exemplo de sintaxe acima, o arquivo foi chamado de
arquivo.dump.
tcpdump - sintaxe
34. A ferramenta de gerência de rede
WireShark não é nada mais que uma
ferramenta para o administrador da rede
monitorar e controlar os dados
transmitidos entre qualquer protocolo
de transmissão.http://www.wireshark.org/
Wireshark
36. • O Xplico é uma Ferramenta de Análise Forense de Rede usado para
extrair todos o conteúdo de um dump de redes
http://www.xplico.org/
xplico
37. • Essa ferramenta consegue extrair informações dos protocolos.
• Ele roda uma série grande de plugins que podem “decodificar” o
tráfego de rede, por exemplo, de um arquivo capturado pcap, o
Xplico pode extrair dos protocolos (POP, IMAP, e SMTP), conteúdo
HTTP, cada chamada VoIP (SIP) , FTP, TFTP.
xplico
40. • O arquivo de texto videoaula será esteganografado no arquivo de imagem
chamado forense.jpg
steghide embed -ef videoaula -cf forense.jpg
• O arquivo será esteganografado em um novo arquivo chamado importante.jpg
steghide embed -ef videoaula -cf forense.jpg -sf importante.jpg
• O arquivo forense.jpg terá seu conteúdo extraído no arquivo jeffersoncosta
steghide extract -sf forense.jpg -xf jeffersoncosta
Esteganografia - Exemplo
41. • -ef, --embedfile filename: Especifica o nome do arquivo cuja mensagem
será incorporada.
• -cf, --coverfile filename: Especifica o nome do arquivo que será usado
para esconder os dados.
• -sf, --stegofile filename: Especifica o nome para o arquivo
esteganografado que será criado.
• -xf, --extractfile filename: Cria um arquivo com um determinado nome e
escreve os dados escondidos nele.
Esteganografia - Opções