SlideShare uma empresa Scribd logo
Desafios em Computação Forense
      e Resposta a Incidentes de Segurança




  Sandro Süffert

http://blog.suffert.com
Equipamentos de Laboratórios de Perícia
                                Computação Forense é só isto?




                                       Softwares de                  Duplicadores de Mídias
Armazenamento Portátil                Análise Pericial

                          Computadores
                          Especializados                             Mobile Forensics




                                                Aquisição em campo


Bloqueadores de Escrita
Áreas usuárias de Tecnologias de
         Computação Forense e Investigação Digital:


Perícia Criminal   Segurança da Inf.      Auditoria



 Anti-Fraude          Inteligência      Fiscalização



    Jurídico       Defesa Cibernética   Compliance
Algumas modalidades de
                          Forense Computacional




Forense Post-          Forense de Rede     Forense Remota       Forense
Mortem                 • Redes Cabeadas    • Conexão online     Colaborativa
• HDs, CDs, Pen-       • Redes Sem Fio     • Silenciosa         • Múltiplas
  Drives, Disquetes,   • Reconstrução de   • Stealth              Investigações
  etc                    Sessões                                • Múltiplos
                                           • Capacidade de
• Telefones, GPS,                                                 Investigadores
                       • Geração de          obtenção de
  Tablets, etc                                                  • Interface de
                         Metadados           dados voláteis
                                                                  Investigação
                                           • Possibilidade de     Amigável
                                             Remediação         • Grupo Especialista
Taxonomia: Evento>Ataque>Incidente>Crime

INCIDENTE

          ATAQUE / VIOLAÇÃO

                                EVENTO

                                                Resultado não     Objetivos
Agente    Ferramentas   Falha    Ação    Alvo
                                                 autorizado




                                                          Crime
Dinâmicas de Incidentes ou “Crimes Digitais”


                                                                                              Resultado
       Agente         Ferramentas           Falha          Ação              Alvo                             Objetivos
                                                                                            não autorizado


      Hackers         Ataque Físico        Design         Probe            Contas           Aumento níveis       Dano
                                                                                              de acesso
      Espiões          Troca de Inf.    Implementação     Scan            Processos
                                                                                              Obtenção          Ganho
     Terroristas       Eng. Social       Configuração     Flood             Dados            informação       Financeiro
                                                                                             confidencial
      Vândalos         Programas                        Autenticação   Central Telefônica
                                                                                             Corrupção de
                                                                                              informação     Ganho Político
      Voyeurs            Toolkit                          Bypass         Computadores

                                                          Spoof                               Negação de
    Mercenários       Interceptação                                      Redes Locais                        Desafio, status
                                                                                                Serviço
    Funcionários          Ataque                          Leitura        Redes WAN
                        Distribuido                                                            Roubo de
                                                          Cópia                                Recursos

John D. Howard e Thomas A. Longstaff
                                                          Roubo
A Common Language for Computer Security Incidents
                                                        Modificação
http://www.cert.org/research/taxonomy_988667.pdf
                                                         Remoção
Atribuição de Autoria/Responsabilidade
                       Muito além da identificação de endereços IP

1)Timing,                                                11) Ferramentas,
2) Vítimas/Alvos,                                        12) Mecanismo de Persistência,
3) Origem,                                               13) Método de Propagação,
4) Mecanismo de Entrada,                                 14) Dados Alvo,
5) Vulnerabilidade ou Exposição,                         15) Compactação de Dados,
6) Exploit ou Payload,                                   16) Modo de Extrafiltração,
7) Weaponization,                                        17) Atribuição Externa,
8) Atividade pós-exploração,                             18) Grau de Profissionalismo,
9) Método de Comando e Controle,                         19) Variedade de Técnicas utilizadas,
10) Servidores de Comando e Controle,                    20) Escopo
                                                                                    (R. Beitlich, M. Cloppert)




                   Agente


    Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
Diferentes Níveis de Importância Estratégica
Diferentes Categorias de Agentes e Objetivos




                            diagrama: - David Ross – GFIRST/Mandiant
Processos de Investigação Digital
Exemplo de Processo de Investigação
• CheckList de Abertura
• Requisitar Autorização
• Designar responsáveis
     • Preservação e Coleta
     • Acompanhamento
• Efetuar
     • Inventário
     • Enviar para Análise
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial




•   PADRONIZAR o
    processamento, gerando
    CONTROLE

•   MINIMIZAR ao máximo a
    PERDA de dados

•   EVITAR a
    CONTAMINAÇÃO de
    dados / informações
Tratamento > Coleta Remota
•   INFORMAÇÃO sobre as
    FERRAMENTAS utilizadas

•   INFORMAÇÕES sobre a REDE

•   INFORMAÇÕES sobre a
    AQUISIÇÃO

•   INFORMAÇÕES sobre
    ARQUIVAMENTO
Processo de Investigação


             Notificação
                                                                                                                           Processos Forenses

              Triagem                                        Tratamento                                       Análise                                                    Relatório                Encerramento


             Detecção

                                                                                                              Iniciar Análise



                        Requisição
                         Forense                                      Reiniciar                                  Dados
                                                                                          [Não]
                                                                     Tratamento                                Suficientes?
                                                                                                                                                                                         Encerramento

                        Checklist de        FORM06
                                                                                                                   [Sim]
                      Abertura de Caso     FORM-CAC                                                                                                         FORM05 –
                                                                                                                                                                                       Sanitizar mídias de
                                                                                                                                                           Notas de Lab.
                                                                                                           Processos de Análise                                                         armazenamento
                                                                                                                                                                                      temporário (trabalho)

                         Requisitar        FORM01 -                                                       Responder:
                                           Autorização                                    Quem/O que?, Quando?, Onde?, Como?, Por que?
                        Autorização                                                                                                                                                    Arquivar mídias de
                                                                                                                                                                                        armazenamento
                                                                                        Utilizar os processos de análise para obter as respostas                                        longo (originais/
                                                                                                                                                                                         cópias backup)
Renegociar                                                                                                                    Recuperação de Arquivos
              [Não]     Autorizado?                                                    Análise de Emails
Requisição                                                                                                                          Apagados
                                                                                                                                                                                      Registrar/Comunicar
                           [Sim]                                                     Análise de Documentos                        Análise de Hash                                      o Término do caso


                        Definir o que      FORM02 -
                                                                                    Análise de Artefatos Web                  Comparação de Baseline
                          coletar         Questionário                                                                                                                                      Arquivar
                                                                                                                                                                                        Documentação na
                                                                                   Análise de Artefatos de SO                Outras Análises Específicas                                 Pasta do Caso

                                                   Processo de
                         Remoto?         [Não]                                                                                                                                         Preencher ficha de
                                                 Coleta Presencial
                                                                                                                                                                                       acompanhamento
                                                                                                                                                                                           gerencial
                                                                                                            Existe Informação                        Se obtidas, analisar
                           [Sim]                                             Abrir uma Nova                                                         relevância dos dados
                                                                                              [Sim]        Incriminante fora do
                                                                              Investigação                                                               levantados e
                                                                                                              escopo inicial?
                                            FORM10                                                                                                   relacionamento com
                       Coleta Remota        FORM11                                                                                                       dados atuais                  Necessário Acionar             Enviar Informações    Aguardar
                                                                                                                                                                                                              [Sim]
                                                                                                                                                                                      Autoridades Externas?            para Autoridades    Instruções
                                                                                                                  [Não]

                                                                                                                                                                                              [Não]
                            Mais                                                                               Novos Alvos                                  Requisitar
                        Evidências a                                                              [Sim]       Identificados?                               Informações                       Fim da
             [Sim]
                          coletar?                                                                                                                                                        Investigação

                                                                                                                                                              [Sim]
                           [Não]                                                                                  [Não]


                                            FORM07                                                                                                       Necessário
                         Inventariar                                                                                                                                          [Não]
                                                                                                          Informações Suficientes                   Informações fora das
                                                                                                                                          [Não]
                                                                                                               para Concluir?                       permissões diretas do
                                                                                                                                                        investigador?

                          Iniciar
                          Análise                                                                                  [Sim]


                                                                                                                 Preparar
                                                                                                                 Relatório
Resposta a Incidentes e Forense
Computacional – Abordagem Híbrida




“Computer Forensics: Results of Live
Response Inquiry vs Memory Image Analysis”
Cyber Segurança – uma crise de priorização




NCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano


            NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
Pessoas: A crise de capital humano em CiberSegurança
Alguns Desafios em Perícia
           Computacional e Resposta a Incidentes


1 – aumento do tamanho das mídias

2 – aumento das fontes de dados

3 – novidades tecnológicas

4 – melhorias de performance de ferramentas

5 – melhor triagem antes da coleta de dados

6 – evolução de técnicas de análise

7 – melhorias na taxonomia e compartilhamento de dados
Desafios Tecnológicos


1 – aumento do tamanho das mídias (HDs) a serem analisadas:

  - Lei de Moore -> número de transistores de chips dobram a cada 18 meses

  - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses

       - velocidade de acesso à disco (I/O) não cresce tão rapidamente..
       - maioria dos hds possuem mais de um milhão de itens
       - indexação, carving, análise de assinatura
1 – aumento do tamanho das mídias (HDs)




Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
1 – aumento do tamanho das mídias (HDs)




          Discos: aumento de +576%.
         Estações de Trabalho: +29,7%
      PDA/Blackberry/Assemelhados: +859%
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados a serem analisadas:

   - Análise de discos de Estado Sólido (SSD)
   - Análise de mídias removíveis
   - Análise de computadores remotos
   - Análise de memória
   - Análise de sessões de rede
   - Análise de registros/logs/BD
   - Análise de dispositivos móveis (celulares, tablets, gps)
   - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
2 – aumento das fontes de dados

                          + d a d o s                       + c o m p l e x i d a d e

HD:        Bit    Byte         Setor      Cluster                 Arquivo
           1      8bits        512B       8 setores / 4kb         1-n clusters




Memória:   Bit    Byte         Página      Thread                 Processo
           1      8bits        4kB         n páginas              n threads




Rede:      Bit     Byte        Pacote     Stream                   Sessão
           1       8bits        n bytes   n pacotes                n streams
Outras Fontes de Dados:
Análise de Memória – ex 1 (pdgmail.py)
Outras Fontes de Dados:
Análise de Memória – ex 2 (Ftk 3.x)
Outras Fontes de Dados:
Análise de Memória – ex 3 (HBGary Responder)
Outras Fontes de Dados
Análise de Sessões de Rede
Outras Fontes de Dados
Análise de Sessões de Rede – ex. 4
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs) a serem analisadas:
2 – aumento das fontes de dados a serem analisadas:
3 – necessidade de adequação diante de novidades tecnológicas

     - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, ..

     - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..)

     - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade

     - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnológicas:
               Novos sistemas operacionais – ex 1 (Win 7)
Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist


Windows XP – UserAssist:
Cifra - ROT13 (A->N, B->O, ...)
Inicia o contador em 5.

Windows 7/2008 beta – UserAssist:
Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)

Windows 7/2008 – UserAssist:
Cifra – ROT13 / inicia o contador em 0.
Novidades Tecnológicas:
              Novos sistemas de arquivo – ex 2 (ext4)


Análise dos metadados de MAC Times (Modificação, Acesso e Criação)

Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer
Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time
Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901)
bits: 1111111111111111111111111111111

ext4 – lançado em 25 de dezembro de 2008, estende timestamps para
  nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do
  “expanded timestamp”, aumentando o limite para o ano 2242.

Suporte completo a ext4: FTK 3.3 e Encase 7
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:

     - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle

     - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos

     - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB

     - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)

     - Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
4 - Melhoria de Performance
BackEnd Oracle / Processamento Distribuído – AD
                      LAB
4 - Melhoria de Performance
CriptoAnálise – FRED-SC + EDPR - CUDA
Avanços Tecnológicos - Triagem


1   – aumento do tamanho das mídias
2   – aumento das fontes de dados
3   – adequação diante de novidades tecnológicas
4   – melhorias de performance de ferramentas:
5 – melhor triagem antes da coleta de dados

     - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform

     - Na ponta – Encase Portable

     - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
5 – Melhoria na Triagem: ex 1 – em campo




EnCase
Portable
USB – 4GB




PenDrive/Disco – 1 Gb- > 2Tb

                                              4-Port USB
                    Dongle / (Security key)   Hub
5 – Melhoria na Triagem: ex 2 – em campo
5 – Melhoria na Triagem: ex 3 – remota




                               Servlets Installed
                               on Computers
Forense Remota / Remediação




  Auditoria           Logical             ResultLog
                   Evidence File
• Quem?           • Garantia de         • Existência ou não
                  integridade           de arquivos
• Quando?
                  • Materialização de   responsivos
• Onde?
                  prova
                  •Tamanho reduzido
Avanços Tecnológicos


1–   aumento do tamanho das mídias
2–   aumento das fontes de dados
3–   novidades tecnológicas
4–   melhorias de performance de ferramentas
5–   melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise

     - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis

     - indexação de textos em imagens (OCR); Novos algorítimos de análise

     - Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson):
            Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV /
            OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira /
            Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
Evolução de Técnicas de Análise - Hashes

Uso de Hashes Criptográficos

-   Arquivos de Evidência .e01 vs .dd:
-   E0x1,L0x1: bzip, AES-256, MD5+SHA1




- arquivos (md5/sha1/sha256):
    whitelisting (NIST NSRL / AD KFF)
    blacklisting (Bit9, Gargoyle)



- Outros tipos de “Hashing” úteis na Forense:

Fuzzy hashing | File block hash analysis | Entropy
Fuzzy Hashing


- ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net




- FTK 3.x




            context triggered piecewise hashes (CTPH)
Hashes - Entropy
File Block Hash Analysis




https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
Algorítimos de Comparação de Vídeos

                 Identificação/categorização de vídeos
                 tolerante a mudança de:


                 •   Formato;
                 •   Cor; Brilho; Contraste;
                 •   Compressão;
                 •   Espelhamento;
                 •   Cortes;
                 •   Distorção;
                 •   Mudança de proporção;
                 •   Edições (~ 2 seg)
Avanços Tecnológicos


1   – aumento do tamanho das mídias (HDs)
2   – aumento das fontes de dados
3   – novidades tecnológicas
4   – melhorias de performance de ferramentas
5   – melhor triagem antes da coleta de dados
6   – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados

     - Taxonomia Incidentes
     - Atribuição de Origem ( Táticas, Técnicas e Procedimentos)
     - Indicadores de Comprometimento - OpenIOC
     - Framework de Compartilhamento de dados - VerIS
Utilização do compartilhamento de dados
    Análise de Sessões de Rede – ex. ?
Correlação de Eventos para apoio à Decisão
                       T.I/S.I./Fraude/Auditoria/Inteligência

                                                                                                  Applications
                                                                                                   Applications
                                                                                                    Applications
                                                                                                     Applications
Firewalls
 Firewalls            Intrusion                                                                       Applications
                                                                                                       Applications          Anti
   Firewalls
    Firewalls
       Firewalls/                     Vulnerability    Equipamentos   SO de Servers e                   Applications
                                                                                                         Applications         Anti
                                                                                                                           Bancos de
      Firewalls       Detection                                                          Anti-Virus       Applications
                                                                                                            Aplicações      Virus
                                                                                                                             Virus
          VPN                         Assessment         De Rede         Desktop                                             Dados
                       Systems

                                                   Sign-On
                                                  Gerenciamento
                                                    Sign-On        Serviços de     Atributos de    Infraestrutura    Processos de
                                  Mainframes
                                                   De Identidade    Diretório        Usuários           Física          Negócio




                             Correlação de Milhões de Eventos Diários
Monitoração de Infra-Estruturas Críticas (PLCs)




                                       54
15/08/201
Inteligência para Investigações e apoio à Decisão    1




                                                55
Foco de Atenção: Ênfase na *Ameaça*

-       Kill Chain – sequência de eventos para uma ameaça afetar um alvo:




    -     Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto


                                                        TBS – Time Based Security: Pt ~ Dt + Rt
                                                        “Proteção requer detectar um ataque e reagir a
                                                        Tempo”.
                                                        Proteção = Tempo Detecção + Tempo Reação suficientes
                                                        Exposição = Tempo Detecção + Tempo Reação tardios


                                                                   Conceito TBS:: Winn Schwartau
           diagramas: Mike Cloppert – Lockheed Martin
Evolução de um Ataque Temporalmente
Análise de Incidentes - TTPs
                                  Táticas, Técnicas, e Procedimentos




Mike Cloppert – Lockheed Martin
Indicators of Compromise - OpenIOC




       http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Táticas, Técnicas e Procedimentos
             VerIS – Incident Sharing - Framework




http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
Alguns casos – 2011


Heterogeneidade de Casos:

•   EBCDIC 3270 rede (fraude externa)

•   Solaris – adm (sabotagem)

•   Java boleto (fraude interna)

•   Invasão de site / vazamento de dados

•   Clipper – (fraude interna)

•   MSDOS 16bit - Video poker (Forças da Lei)

•   Sistema Web .NET + SQL Server (Fraude Votação)
Maturidade em Investigação Computacional
Desenvolvimento e Integração de Tecnologia
Obrigado!




  Sandro Süffert, CTO
Techbiz Forense Digital


 http://blog.suffert.com

Mais conteúdo relacionado

Mais procurados

Palestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação DigitalPalestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação Digital
Deivison Pinheiro Franco.·.
 
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
BGA Cyber Security
 
Whats A Hash
Whats A HashWhats A Hash
Data Loss Prevention
Data Loss PreventionData Loss Prevention
Data Loss Prevention
Reza Kopaee
 
Network Forensics Intro
Network Forensics IntroNetwork Forensics Intro
Network Forensics Intro
Jake K.
 
Ransomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoRansomware: Estratégias de Mitigação
Ransomware: Estratégias de Mitigação
Amazon Web Services LATAM
 
Splunk Enterprise 6.4
Splunk Enterprise 6.4Splunk Enterprise 6.4
Splunk Enterprise 6.4
Splunk
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
Clausia Antoneli
 
Best Practices for Implementing Data Loss Prevention (DLP)
Best Practices for Implementing Data Loss Prevention (DLP)Best Practices for Implementing Data Loss Prevention (DLP)
Best Practices for Implementing Data Loss Prevention (DLP)
Sarfaraz Chougule
 
7 Software Development Security
7 Software Development Security7 Software Development Security
7 Software Development Security
Alfred Ouyang
 
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
Gustavo Zimmermann
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
Vikas Jain
 
NIST Server Hardening Guide SP 800-123
NIST Server Hardening Guide  SP 800-123 NIST Server Hardening Guide  SP 800-123
NIST Server Hardening Guide SP 800-123
David Sweigert
 
Dispositivos de Bloco
Dispositivos de BlocoDispositivos de Bloco
Dispositivos de Bloco
Ivani Nascimento
 
Curso de AWK (David Barreto)
Curso de AWK (David Barreto)Curso de AWK (David Barreto)
Curso de AWK (David Barreto)
David Barreto
 
Data loss prevention (dlp)
Data loss prevention (dlp)Data loss prevention (dlp)
Data loss prevention (dlp)
Hussein Al-Sanabani
 
DDS Secure Intro
DDS Secure IntroDDS Secure Intro
DDS Secure Intro
John Breitenbach
 
Computer Forensics & Windows Registry
Computer Forensics & Windows RegistryComputer Forensics & Windows Registry
Computer Forensics & Windows Registry
aradhanalaw
 
Using the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modelingUsing the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modeling
Eric Jernigan MSIA, CISSP, CISM, CRISC
 
Web Application Security Strategy
Web Application Security Strategy Web Application Security Strategy
Web Application Security Strategy
Network Intelligence India
 

Mais procurados (20)

Palestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação DigitalPalestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação Digital
 
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
 
Whats A Hash
Whats A HashWhats A Hash
Whats A Hash
 
Data Loss Prevention
Data Loss PreventionData Loss Prevention
Data Loss Prevention
 
Network Forensics Intro
Network Forensics IntroNetwork Forensics Intro
Network Forensics Intro
 
Ransomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoRansomware: Estratégias de Mitigação
Ransomware: Estratégias de Mitigação
 
Splunk Enterprise 6.4
Splunk Enterprise 6.4Splunk Enterprise 6.4
Splunk Enterprise 6.4
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Best Practices for Implementing Data Loss Prevention (DLP)
Best Practices for Implementing Data Loss Prevention (DLP)Best Practices for Implementing Data Loss Prevention (DLP)
Best Practices for Implementing Data Loss Prevention (DLP)
 
7 Software Development Security
7 Software Development Security7 Software Development Security
7 Software Development Security
 
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
NIST Server Hardening Guide SP 800-123
NIST Server Hardening Guide  SP 800-123 NIST Server Hardening Guide  SP 800-123
NIST Server Hardening Guide SP 800-123
 
Dispositivos de Bloco
Dispositivos de BlocoDispositivos de Bloco
Dispositivos de Bloco
 
Curso de AWK (David Barreto)
Curso de AWK (David Barreto)Curso de AWK (David Barreto)
Curso de AWK (David Barreto)
 
Data loss prevention (dlp)
Data loss prevention (dlp)Data loss prevention (dlp)
Data loss prevention (dlp)
 
DDS Secure Intro
DDS Secure IntroDDS Secure Intro
DDS Secure Intro
 
Computer Forensics & Windows Registry
Computer Forensics & Windows RegistryComputer Forensics & Windows Registry
Computer Forensics & Windows Registry
 
Using the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modelingUsing the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modeling
 
Web Application Security Strategy
Web Application Security Strategy Web Application Security Strategy
Web Application Security Strategy
 

Semelhante a "Desafios em Computação Forense e Resposta a Incidentes de Segurança"?

Apresentação SegInfo
Apresentação SegInfoApresentação SegInfo
Apresentação SegInfo
TechBiz Forense Digital
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016
Sandro Suffert
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
FecomercioSP
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012   sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012   sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Sandro Suffert
 
Pentest cool
Pentest coolPentest cool
Pentest cool
Adilson Da Rocha
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Campus Party Brasil
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
Clavis Segurança da Informação
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2
Rute1993
 
Cnasi sp apresentação marcelo souza
Cnasi sp   apresentação marcelo souzaCnasi sp   apresentação marcelo souza
Cnasi sp apresentação marcelo souza
TechBiz Forense Digital
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011
Rodrigo Antao
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
Luiz Sales Rabelo
 
CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSP
Carlos Eduardo Motta de Castro
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de Redes
Vaine Luiz Barreira, MBA
 
Pentest
Pentest Pentest
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais   Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais   Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
osmarcorrea
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
Módulo Security Solutions
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
Leandro Magnabosco
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
TI Safe
 
Notas sobre Segurança de Software
Notas sobre Segurança de SoftwareNotas sobre Segurança de Software
Notas sobre Segurança de Software
Orlando Junior
 

Semelhante a "Desafios em Computação Forense e Resposta a Incidentes de Segurança"? (20)

Apresentação SegInfo
Apresentação SegInfoApresentação SegInfo
Apresentação SegInfo
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012   sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012   sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
 
Pentest cool
Pentest coolPentest cool
Pentest cool
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2
 
Cnasi sp apresentação marcelo souza
Cnasi sp   apresentação marcelo souzaCnasi sp   apresentação marcelo souza
Cnasi sp apresentação marcelo souza
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
 
CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSP
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de Redes
 
Pentest
Pentest Pentest
Pentest
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais   Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais   Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Notas sobre Segurança de Software
Notas sobre Segurança de SoftwareNotas sobre Segurança de Software
Notas sobre Segurança de Software
 

Mais de SegInfo

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
SegInfo
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
SegInfo
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
SegInfo
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
SegInfo
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
SegInfo
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
SegInfo
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
SegInfo
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
SegInfo
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
SegInfo
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
SegInfo
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
SegInfo
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
SegInfo
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
SegInfo
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
SegInfo
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
SegInfo
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
SegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
SegInfo
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
SegInfo
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
SegInfo
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 

Mais de SegInfo (20)

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 

"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?

  • 1. Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süffert http://blog.suffert.com
  • 2. Equipamentos de Laboratórios de Perícia Computação Forense é só isto? Softwares de Duplicadores de Mídias Armazenamento Portátil Análise Pericial Computadores Especializados Mobile Forensics Aquisição em campo Bloqueadores de Escrita
  • 3. Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital: Perícia Criminal Segurança da Inf. Auditoria Anti-Fraude Inteligência Fiscalização Jurídico Defesa Cibernética Compliance
  • 4. Algumas modalidades de Forense Computacional Forense Post- Forense de Rede Forense Remota Forense Mortem • Redes Cabeadas • Conexão online Colaborativa • HDs, CDs, Pen- • Redes Sem Fio • Silenciosa • Múltiplas Drives, Disquetes, • Reconstrução de • Stealth Investigações etc Sessões • Múltiplos • Capacidade de • Telefones, GPS, Investigadores • Geração de obtenção de Tablets, etc • Interface de Metadados dados voláteis Investigação • Possibilidade de Amigável Remediação • Grupo Especialista
  • 5. Taxonomia: Evento>Ataque>Incidente>Crime INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não Objetivos Agente Ferramentas Falha Ação Alvo autorizado Crime
  • 6. Dinâmicas de Incidentes ou “Crimes Digitais” Resultado Agente Ferramentas Falha Ação Alvo Objetivos não autorizado Hackers Ataque Físico Design Probe Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan Processos Obtenção Ganho Terroristas Eng. Social Configuração Flood Dados informação Financeiro confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass Computadores Spoof Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia Recursos John D. Howard e Thomas A. Longstaff Roubo A Common Language for Computer Security Incidents Modificação http://www.cert.org/research/taxonomy_988667.pdf Remoção
  • 7. Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP 1)Timing, 11) Ferramentas, 2) Vítimas/Alvos, 12) Mecanismo de Persistência, 3) Origem, 13) Método de Propagação, 4) Mecanismo de Entrada, 14) Dados Alvo, 5) Vulnerabilidade ou Exposição, 15) Compactação de Dados, 6) Exploit ou Payload, 16) Modo de Extrafiltração, 7) Weaponization, 17) Atribuição Externa, 8) Atividade pós-exploração, 18) Grau de Profissionalismo, 9) Método de Comando e Controle, 19) Variedade de Técnicas utilizadas, 10) Servidores de Comando e Controle, 20) Escopo (R. Beitlich, M. Cloppert) Agente Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
  • 8. Diferentes Níveis de Importância Estratégica Diferentes Categorias de Agentes e Objetivos diagrama: - David Ross – GFIRST/Mandiant
  • 10. Exemplo de Processo de Investigação
  • 11. • CheckList de Abertura • Requisitar Autorização • Designar responsáveis • Preservação e Coleta • Acompanhamento • Efetuar • Inventário • Enviar para Análise
  • 12. Tratamento > Coleta Presencial
  • 13. Tratamento > Coleta Presencial
  • 14. Tratamento > Coleta Presencial • PADRONIZAR o processamento, gerando CONTROLE • MINIMIZAR ao máximo a PERDA de dados • EVITAR a CONTAMINAÇÃO de dados / informações
  • 16. INFORMAÇÃO sobre as FERRAMENTAS utilizadas • INFORMAÇÕES sobre a REDE • INFORMAÇÕES sobre a AQUISIÇÃO • INFORMAÇÕES sobre ARQUIVAMENTO
  • 17. Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 – Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Autorização Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup) Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de Emails Requisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
  • 18. Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
  • 19. Cyber Segurança – uma crise de priorização NCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
  • 20. Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
  • 21.
  • 22. Pessoas: A crise de capital humano em CiberSegurança
  • 23. Alguns Desafios em Perícia Computacional e Resposta a Incidentes 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados
  • 24. Desafios Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
  • 25. 1 – aumento do tamanho das mídias (HDs) Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
  • 26. 1 – aumento do tamanho das mídias (HDs) Discos: aumento de +576%. Estações de Trabalho: +29,7% PDA/Blackberry/Assemelhados: +859%
  • 27. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados a serem analisadas: - Análise de discos de Estado Sólido (SSD) - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs/BD - Análise de dispositivos móveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
  • 28. 2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • 29. Outras Fontes de Dados: Análise de Memória – ex 1 (pdgmail.py)
  • 30. Outras Fontes de Dados: Análise de Memória – ex 2 (Ftk 3.x)
  • 31. Outras Fontes de Dados: Análise de Memória – ex 3 (HBGary Responder)
  • 32. Outras Fontes de Dados Análise de Sessões de Rede
  • 33. Outras Fontes de Dados Análise de Sessões de Rede – ex. 4
  • 34. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: 2 – aumento das fontes de dados a serem analisadas: 3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..) - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  • 35. Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP – UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta – UserAssist: Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 – UserAssist: Cifra – ROT13 / inicia o contador em 0.
  • 36. Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242. Suporte completo a ext4: FTK 3.3 e Encase 7
  • 37. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) - Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
  • 38. 4 - Melhoria de Performance BackEnd Oracle / Processamento Distribuído – AD LAB
  • 39. 4 - Melhoria de Performance CriptoAnálise – FRED-SC + EDPR - CUDA
  • 40. Avanços Tecnológicos - Triagem 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: 5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  • 41. 5 – Melhoria na Triagem: ex 1 – em campo EnCase Portable USB – 4GB PenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
  • 42. 5 – Melhoria na Triagem: ex 2 – em campo
  • 43. 5 – Melhoria na Triagem: ex 3 – remota Servlets Installed on Computers
  • 44. Forense Remota / Remediação Auditoria Logical ResultLog Evidence File • Quem? • Garantia de • Existência ou não integridade de arquivos • Quando? • Materialização de responsivos • Onde? prova •Tamanho reduzido
  • 45. Avanços Tecnológicos 1– aumento do tamanho das mídias 2– aumento das fontes de dados 3– novidades tecnológicas 4– melhorias de performance de ferramentas 5– melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis - indexação de textos em imagens (OCR); Novos algorítimos de análise - Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  • 46. Evolução de Técnicas de Análise - Hashes Uso de Hashes Criptográficos - Arquivos de Evidência .e01 vs .dd: - E0x1,L0x1: bzip, AES-256, MD5+SHA1 - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - Outros tipos de “Hashing” úteis na Forense: Fuzzy hashing | File block hash analysis | Entropy
  • 47. Fuzzy Hashing - ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x context triggered piecewise hashes (CTPH)
  • 49. File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
  • 50. Algorítimos de Comparação de Vídeos Identificação/categorização de vídeos tolerante a mudança de: • Formato; • Cor; Brilho; Contraste; • Compressão; • Espelhamento; • Cortes; • Distorção; • Mudança de proporção; • Edições (~ 2 seg)
  • 51. Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem ( Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
  • 52. Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
  • 53. Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications Applications Firewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação de Milhões de Eventos Diários
  • 54. Monitoração de Infra-Estruturas Críticas (PLCs) 54
  • 56. Foco de Atenção: Ênfase na *Ameaça* - Kill Chain – sequência de eventos para uma ameaça afetar um alvo: - Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto TBS – Time Based Security: Pt ~ Dt + Rt “Proteção requer detectar um ataque e reagir a Tempo”. Proteção = Tempo Detecção + Tempo Reação suficientes Exposição = Tempo Detecção + Tempo Reação tardios Conceito TBS:: Winn Schwartau diagramas: Mike Cloppert – Lockheed Martin
  • 57. Evolução de um Ataque Temporalmente
  • 58. Análise de Incidentes - TTPs Táticas, Técnicas, e Procedimentos Mike Cloppert – Lockheed Martin
  • 59. Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
  • 60. Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Framework http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
  • 61. Alguns casos – 2011 Heterogeneidade de Casos: • EBCDIC 3270 rede (fraude externa) • Solaris – adm (sabotagem) • Java boleto (fraude interna) • Invasão de site / vazamento de dados • Clipper – (fraude interna) • MSDOS 16bit - Video poker (Forças da Lei) • Sistema Web .NET + SQL Server (Fraude Votação)
  • 64. Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com