O documento apresenta o projeto W@rpSpeed da OctaneLabs, que visa resolver três grandes problemas da computação forense: o backlog crescente de casos, os recursos de alto custo com restrições tecnológicas e as investigações prejudicadas. O projeto utilizará novas tecnologias como indexação distribuída, parsers acelerados por GPU e análise assistida por IA para agilizar as investigações de forma escalável e a custos reduzidos.
pt: Treinamento básico de Qt na Faculdade iDez, João Pessoa, PB, Brasil em Setembro de 2009.
en: Basic Qt training at Faculdade iDez, João Pessoa, Paraíba, Brazil in September, 2009.
pt: Treinamento básico de Qt na Faculdade iDez, João Pessoa, PB, Brasil em Setembro de 2009.
en: Basic Qt training at Faculdade iDez, João Pessoa, Paraíba, Brazil in September, 2009.
Neste webinar foram apresentados os principais assuntos da ementa do curso Análise Forense de Redes EAD da Clavis, abordando com detalhes as 3 fases distintas envolvidas nas atividades destes tipos de análise: Instalação do “Grampo” Digital (cenários possíveis e adequados aos mais diversos tipos de ambientes computacionais), Captura de tráfego (dados importantes que devem compor os filtros configurados nesta fase, formato adequado e detalhes que limitam ou até inviabilizam esta captura) e Análise dos dados capturados (filtros pós-captura, ferramentas e frameworks disponíveis, manipulação de arquivos PCAP identificação de informações e recuperação de arquivos), além de técnicas e informações complementares atualizadas.
Conheça mais sobre o curso Análise Forense de Redes EAD em http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/analise-forense-de-redes-com-software-livre-pericia-digital-seguranca-da-informacao
Neste webinar foram apresentados os principais assuntos da ementa do curso Análise Forense de Redes EAD da Clavis, abordando com detalhes as 3 fases distintas envolvidas nas atividades destes tipos de análise: Instalação do “Grampo” Digital (cenários possíveis e adequados aos mais diversos tipos de ambientes computacionais), Captura de tráfego (dados importantes que devem compor os filtros configurados nesta fase, formato adequado e detalhes que limitam ou até inviabilizam esta captura) e Análise dos dados capturados (filtros pós-captura, ferramentas e frameworks disponíveis, manipulação de arquivos PCAP identificação de informações e recuperação de arquivos), além de técnicas e informações complementares atualizadas.
Conheça mais sobre o curso Análise Forense de Redes EAD em http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/analise-forense-de-redes-com-software-livre-pericia-digital-seguranca-da-informacao
Em reuniões que participo com alguns clientes estratégicos, a sua principal narrativa é: "Eu quero uma rede IP/MPLS onde eu conecto minhas Filias à Matriz em circuitos privados, e assim não preciso me preocupar com a segurança do tráfego oriundo das filiais. Uma vez que todo tráfego é redirecionado para o ponto concentrador, meu FIREWALL fica responsável por controlar todo o acesso à Internet, assim eu administro quem entra e que saia da rede."
Parece uma boa solução, entretanto, eu faço algumas perguntas: "Você controla o acesso físico de todos os elementos de rede da sua empresa?", "Possui pelo menos alguma política de 'port-security' (ou similar) aplicada no Switches?" Ou ainda "Já possui 802.1x na sua LAN ?".
A resposta para quase todas é "SIM".
Parece clichê, mas o que fazer quando o 802.1x (sozinho) não consegue me proteger?
Por isso meu tema é: Como o 802.1x e 802.1ae reforçam a segurança das redes corporativas.
Palestra Rafael Correia - O que eu deveria ter aprendido sobre segurança na g...BHack Conference
Infelizmente, talvez pela alta carga de disciplinas necessárias, talvez pelo foco total no "resolver", segurança ainda é um assunto pouco tratado em graduações. Nisso formamos programadores prontos para fazer, mas pouco prontos em fazer de forma segura. Essa apresentação visa tratar sobre algumas coisas básicas que eu gostaria de saber lá atrás e que me fariam quebrar menos a cabeça ao longo da minha carreira em segurança da informação.
2. #whoami
• Tony Rodrigues, CISSP, CFCP, Security+
• 20++ anos em TI
– Desenvolvimento
– Contingência
– Segurança de Informações/Computação Forense
• Perito em DFIR
• Fundador e Pesquisador-Chefe do OctaneLabs
• Blog: http://forcomp.blogspot.com
9. OctaneLabs
• O que é OctaneLabs ???
• Time de Pesquisa Open Source em
Computação Forense e Resposta a
Incidentes
10. OctaneLabs
• Objetivos
• Fomentar a pesquisa em
Computação Forense no Brasil
• Promover Projetos Open Source
com foco em Computação Forense
e Investigação Digital
• Ministrar Treinamentos em CF
• Consultoria, Perícia e Investigação
Digital
13. Agenda
• Computação Forense
• Os maiores problemas da
Computação Forense
• Projeto W@rpSpeed
– Definição
– Tecnologias
– Fases de Desenvolvimento
• Conclusão
14. Aviso de Isenção de
Responsabilidade
As declarações publicadas aqui são
de minha única e exclusiva iniciativa
e não representam, necessariamente,
opinião, estratégia e posicionamento
do meu empregador.
16. • Determinar o 5W1H através dos vestígios
– Who (Quem fez)
– What (O que foi feito)
– Where (Onde foi feito)
– When (Quando foi feito)
– Why (Por quê ?)
– How (Como foi feito)
Computação Forense
17. • Modelo básico de operação
– Coletar fontes de vestígios
– Analisar
– Reportar
• Fontes de Vestígios
– Mídias
– Tráfego de rede (dumps)
– Memória (dumps)
Computação Forense
18. • Principal etapa da perícia ou
investigação
– Localizar e extrair um vestígio;
– Parsing;
• Correlação !!!
– Principal ferramenta técnica
para unir os pontos !
Análise de vestígios
19. • Análise do vestígio
– Leva em conta o formato do dado
– Dá significado a cada parte do vestígio
– Nem sempre o formato tem documentação
oficial
Parsing
22. • Ad Hoc
– Ferramentas de aplicação imediata
• A ferramenta analisa e emite o resultado
– Algumas tem saída gráfica
• Maioria tem saída em texto
• Ex:
– TZWorks: Prefetch parser, LNK parser, Jump
List parser
– Woanware: EseDbViewer, JumpLister,
Shimcacheparser
Parsing
23. • Indexação
– Operam em duas etapas
• Localizam e realizam o parsing de todos os vestígios
• Cada resultado é salvo para posterior exibição
– Maioria tem saída gráfica
– Resultado pode ser consultado inúmeras vezes
• Ex:
– Encase, FTK, ProDiscover Forensic
– Autopsy
Parsing Indexado
42. • Muitos casos ocorrendo e sendo reportados
• Mídias cada vez maiores e mais baratas
• Cada vez mais dispositivos disponíveis e a
custo acessível
• Baixa disponibilidade de peritos
– Proficiência leva tempo
O que temos até aqui ?
48. • Mídias enormes que demandam muito
tempo indexando
• Altíssima demanda de processamento
– Implica custos estratosféricos de laboratório
• Correlação, quando existente, é restrita
– Fornecedores operam em nichos
– Muito complicado, como negócio, manter uma
abordagem tão ampla
O que temos até aqui ?
54. • Problemas com grande impacto e com
tendências de piorar
– Discos continuarão a crescer
– Ataques ficarão cada vez mais complexos
– Prazos nunca serão longos o suficiente
– Cada vez mais dispositivos para alvo e ataques
(lembre-se de IoT)
– Custos dos laboratórios continuarão altos
– Não teremos menos casos
– Formar peritos não ficará mais fácil
Bottom Line
57. • SuperIndexador Forense com Capacidade
de Parsing Distribuída, Multi-correlação e
Análise Assistida
OctaneLabs W@rpSpeed
58. • Conjunto de novas tecnologias forenses
– C.O.R.E
– fLEGIO
– Scalos
– Radar
– TREfayne
– 3Corder
• Objetivo
– Ajudar nos 3 problemas listados
OctaneLabs W@rpSpeed
59. C.O.R.E
• Núcleo da ferramenta de indexação
– Endereça P2
• Responsável por:
– Case Management
– Configurações
– Catálogo de Mídias
– Extratores
– Interfaces
60. C.O.R.E
• Características:
– Multi-imagem Forense
• Incluindo HDs, SSDs e pendrives
– Diferentes formatos de imagens
• AFF, Encase, DD
– Diferentes SOs e Sistemas de arquivos
• Windows, Linux, iOS, Android
– Dumps de memória
– Dumps de rede
61. fLEGIO
• Indexação Forense Distribuída
– “Legião Forense”
– Endereça diretamente P1 e P2
• Responsável por:
– Agentes-Parsers
– Filas de vestígios
– Controle de Erros
– Armazenamento de resultados
– Coordenação dos processos de indexação
62. fLEGIO
• Características:
– Agentes-Parsers executando nas estações
• Processamento distribuído dos vestígios
• Idle Mode
• Overnight Mode
– Agentes Multiplataformas
• Diferentes SOs, incluindo tablets e smartphones
– Comunicação e processamento protegido
– Direcionamento de carga conforme
capacidade de processamento
64. Scalos
• Tecnologia de aceleração de parsers
– Projeto: Uso de GPUs em Computação
Forense
– Uso de RegExp em GPU !
• CUDA grep Project
– Scalos: Star Trek
– Endereça P1 e P2
• Responsável por:
– Executar em GPU códigos parsers
recomendados
65. Scalos
• Características:
– Implementação de parsers com indicação
para GPU
– Agentes-parsers terão performance superior
– Agentes-parsers com capacidade de
adaptação (com/sem GPU, CUDA ou
OpenCL)
66. RADAR
• Núcleo de Correlação Forense
– Endereça P3
• Responsável por:
– Execução de queries no BD de vestígios
– Correlacionar vestígios
– Alertas de anti-forense e ataques
– Browser nas mídias
67. RADAR
• Características:
– Importação de IoCs e Yara
– Criação de Ingests
– Queries ad-hoc
– Correlação entre mídias diversas, incluindo
dumps de rede e memória
– Alertas baseados em queries
68. TREfayne
• Núcleo de Redes Neurais aplicada à
Computação Forense
– Projeto: Uso de Machine Learning em
Computação Forense
– Star Trek: O Organiano Trefayne “muito
intuitivo”
– Endereça P3
• Responsável por:
– Analisar o caso indexado
– Emitir alertas baseados em IA
78. Fases
• Fase 1
– C.O.R.E
• SO Windows
• NTFS
• Extratores de arquivos
• Base: SleuthKit
– fLEGIO
• Estrutura básica dos Agentes-Parsers
• Filas de Entrada e Resultados
• Coordenação dos agentes
• Database
• Parsers básicos
79. Fases
• Fase 1
– Scalos
• Estudo de programação paralela
• CUDA
• OpenCL
– TREfayne
• Estudo dos métodos de treinamento
– RADAR
• Interface de queries
• Estrutura dos Ingests
81. Fases
• Fase 2
– C.O.R.E
• Dumps de Memória
• FAT e Extn
• Extratores de estruturas de memória
– fLEGIO
• Parsers diversos
• Doctor
• Controle de resiliência dos agentes
82. Fases
• Fase 2
– Scalos
• Identificação dos parsers-Scalos
• Identificação de capacidade (GPU - CUDA ou
OpenCL)
• Implementação dos parsers
– TREfayne
• Treinamento e criação da rede neural
• Processo de submissão dos dados à rede neural
83. Fases
• Fase 2
– RADAR
• Implementação dos Ingests
• Importação de IoC
– 3Corder
• Mapeamento de tipo de arquivo pelo setor
• Algoritmo tradicional de carving
84. Fases
• Fase 3
– C.O.R.E
• Dumps de Rede
• MacOS e sistemas de arquivos de Smartphones
• Extratores de estruturas de rede
– fLEGIO
• Parsers diversos
• Parsers adaptados à carga
• Parsers em modo overnight e idle
85. Fases
• Fase 3
– Scalos
• Continuar na implementação de novos parsers
– TREfayne
• Interfaces
86. Fases
• Fase 3
– RADAR
• Implementação dos Ingests
• Importação de Yara
– 3Corder
• Uso de programação paralela
• Algoritmos de validação
87. Concluindo
• Os problemas narrados são reais e
continuarão a acontecer
• W@arpSpeed tem condições de
endereçar cada um dos problemas
• É o mais audacioso projeto de
Computação Forense da atualidade !
– Não fique de fora !