Your SlideShare is downloading. ×
0
- www.clavis.com.br -
Análise Forense Computacional Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias Clavis Segurança da Inf...
Introdução <ul><li>Fraudes bancárias
Fraudes contra o governo
Fraudes contra o usuário
Primeiro Caso Noticiado (Minneapolis Tribune, 18 de outubro de 1966): </li></ul>&quot;PERITO EM COMPUTADOR ACUSADO DE FALS...
Introdução “ Coleta e análise de dados de maneira não tendenciosa e o mais livre de distorção possível, para reconstruir d...
Introdução Levantar evidências que contam a história do fato: <ul><li>Quando?
Como?
Porque?
Onde? </li></ul>>>  Objetivos
Introdução <ul><li>Suprir as necessidades das instituições legais para manipulação de evidências eletrônicas </li></ul><ul...
Introdução <ul><li>Defacements (violação de dados e/ou difamação)
Roubo de Dados e/ou Negação de Serviço
E­mails falsos (Phishing Scam, Difamação, Ameaças)
Transações bancárias (Internet Banking)
Disseminação de Pragas Vituais, Pirataria e Pedofilia
Crimes comuns com evidências em mídias digitais
Etc etc etc... </li></ul>>>  Motivação
Introdução Segundo estimativas do Gartner Group: <ul><li>PHISHING SCAMS custaram 1,2 bilhão de dólares às administradoras ...
Introdução <ul><li>CAVALO­DE­TRÓIA Novembro/2003 </li></ul>Pará, Maranhão, Teresina e Ceará. 27 prisões <ul><li>CAVALO­DE­...
Introdução >>  Casos Conhecidos <ul><li>ANJO DA GUARDA II Agosto /2005 </li></ul>Cumprimento de prisões em PR, SP, MA <ul>...
Introdução >>  Casos Conhecidos <ul><li>CTRL ALT DEL – dezembro/06 </li></ul>Cerca 39 prisões no Pará <ul><li>CARROSSEL ­ ...
Processo Investigativo <ul><li>Profundos conhecimentos técnicos </li></ul><ul><li>Conhecimento de ferramentas específicas ...
Processo Investigativo <ul><li>Cópia integral (e fiel) das mídias </li></ul><ul><li>Verificação de Integridade através de ...
Processo Investigativo •  Análise de dados e sistemas apenas com autorização do responsável ou ordem judicial •  Restrição...
Processo Investigativo •  Aquisição •  Preservação •  Identificação •  Extração •  Recuperação •  Análise •  Apresentação ...
Processo Investigativo •  Inexistência de Normas e Leis •  Cooperação internacional •  Aumento do número de crimes ciberné...
Processo Investigativo •  Quais procedimentos e/ou ferramentas podem ser utilizados legalmente? •  Obrigações dos provedor...
Processo Investigativo •  Na falta de regulamentação específica, é feito um paralelo com métodos tradicionais, a fim de se...
Processo Investigativo •  Artigo 170:  &quot;Nas perícias de laboratório, os peritos guardarão material suficiente para a ...
Processo Investigativo •  Exemplo de adaptação das normas da perícia convencional (Código de Processo Penal): – “ ...os pe...
Processo Investigativo “ Todo contato deixa vestígio” Edmond Locard >>  Tratamento de Evidências
Processo Investigativo <ul><li>Definição </li></ul>Aquilo que determina ou estabelece a verdade de um fato ocorrido no amb...
Processo Investigativo Aquisição - O que Coletar? •  Mídias: Hds, pendrives, cds, dvds... •  Dados em memória:  “Live Fore...
Processo Investigativo Interfaces externas auxiliam no processo de aquisição: Exemplo:  IDE/SATA para USB >>  Tratamento d...
Processo Investigativo É recomendado o uso de bloqueadores de escrita ( “Write Blockers”  ) para aquisição a partir das mí...
Processo Investigativo Estão disponíveis no mercado Maletas com kits otimizados para aquisição de dados de várias mídias. ...
Processo Investigativo Aquisição Remota •  Mídias muito grandes e/ou equipamentos de coleta  limitados (ou inexistentes) •...
Processo Investigativo Em alguns casos é necessário uma Ordem Judicial para se ter acesso aos dados: <ul><li>Sistemas de a...
Backups em provedores de conteúdo
Servidores corporativos externos
Datacenters internacionais </li></ul>>>  Tratamento de Evidências
Processo Investigativo Preservação •  A alteração de dados pode ser comparada a  alteração da cena de um crime no mundo re...
Processo Investigativo Identificação – Cadeia de Custódia •  Todo o material coletado para análise deve ser  detalhadament...
Processo Investigativo Extração/Recuperação •  Extração é o processo de retirar as informações disponíveis das mídias •  R...
Processo Investigativo Análise •  Extração de Informações a partir dos dados coletados •  Geralmente iniciada pela criação...
Processo Investigativo <ul><li>&quot;Substanciação da evidência&quot; </li></ul><ul><li>Enquadramento das evidências em fo...
Processo Investigativo Os Laudos devem conter: <ul><li>Finalidade da Investigação
Autor(es) do Laudo
Resumo do incidente
Relação de evidências analisadas e seus detalhes
Conclusão
Anexos
Glossário
Metodologia / técnicas / softwares utilizados </li></ul>>>  Apresentação de Resultados
Mídias e Sistemas de Arquivos Dispositivo mais utilizado para armazenamento de dados Dados gravados em “trilhas” e “setore...
Mídias e Sistemas de Arquivos Memória flash do tipo NAND com interface USB Vantagens: •  Menor e mais leve •  Regravável •...
Mídias e Sistemas de Arquivos <ul><li>Organiza os dados de forma hierárquica </li></ul><ul><li>Facilita a navegação e a ma...
Mídias e Sistemas de Arquivos Sistemas de arquivos para Linux: •  EXT •  EXT2 •  EXT3 •  EXT4 •  ReiserFS •  XFS •  ZFS >>...
Mídias e Sistemas de Arquivos Sistemas de arquivos para Windows: •  FAT •  FAT32 •  NTFS >>  Particionamento e Abstrações
Mídias e Sistemas de Arquivos •  ISO 9660 (International Organization for Standardization) •  Sistema de arquivos para CDs...
Dados, Informações e Evidências >>  Ordem de Volatilidade Principais fontes de informação de um sistema: <ul><li>Dispositi...
Memória de periféricos (ex: memória de vídeo)
Memória principal do sistema
Tráfego de rede (pacotes em trânsito na rede)
Estado do sistema operacional
Dispositivos de armazenagem secundária </li></ul>
Dados, Informações e Evidências •  Aquisição de uma imagem de um HD é, em muitos casos, o ponto de partida de uma investig...
Dados, Informações e Evidências O que utilizar ? •  Existem várias ferramentas para esta tarefa •  A maioria implementa o ...
Dados, Informações e Evidências Imagens RAW – Pontos Positivos •  Formato facilmente “montável” •  Independe de ferramenta...
Dados, Informações e Evidências >>  Coleta Imagens RAW – Pontos Negativos •  Arquivos muito grandes e sem suporte a compac...
Dados, Informações e Evidências Outros Tipos de Imagens: •  Expert Witness (E01) Propietário do Encase Permite compactação...
Dados, Informações e Evidências •  Plano de contingência para eventuais erros causados por algum procedimento da análise •...
Dados, Informações e Evidências •  Principal ferramenta “dd” •  Cópia bit-stream •  Faz cópia de qualquer dispositivo que ...
Dados, Informações e Evidências Cópia remota: Máquina origem •  dd if=/dev/hda | netcat IP_destino 1234 Máquina destino • ...
Dados, Informações e Evidências •  Remoção de arquivo é uma abstração do FS •  Dados permanecem intactos até serem sobresc...
Tráfego de Rede •  Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) •  Portas suspe...
Tráfego de Rede •  Pacotes contendo comandos, saídas de comandos e códigos de NOP’s; •  Flood de pacotes para um determina...
Tráfego de Rede Requisições HTTP suspeitas: •  Mesma URL em várias requisições •  URL’s contendo referências a comandos >>...
Tráfego de Rede •  Análise dos pacotes capturados •  Reprodução da sessão capturada •  Reconstrução de arquivos que foram ...
Tráfego de Rede Tcpdump •  Ferramenta tradicional de captura de tráfego •  Aceita filtros por expressões •  Biblioteca pad...
Tráfego de Rede Wireshark •  Mais completo dos analisadores de tráfego •  Possibilita remontar uma sessão •  Estrutura em ...
Esteganografia >>  Definição Conjunto de princípios e técnicas empregadas para  esconder uma mensagem dentro de outra. Pod...
>>  Exemplo simples - Imagem A imagem ao lado apresenta 3 valores RGB diferentes: (0, 0, 0) - Preto (255, 255, 255) - Bran...
Substituindo o “pseudo-branco” por roxo é possível ver o desenho de um urso, como visto ao lado: Esteganografia >>  Exempl...
Como Luiz Antônio vai invadir a Suécia ?!?! Esteganografia >>  Exemplo simples - Texto
Como Luiz Antônio vai invadir a Suécia ?!?! C omo  L uiz  A ntônio  v ai  i nvadir a  S uécia ?!?! Esteganografia >>  Exem...
Como Luiz Antônio vai invadir a Suécia ?!?! C omo  L uiz  A ntônio  v ai  i nvadir a  S uécia ?!?! Mensagem escondida:  CL...
JP Hide-&-Seek (JPHS) Esteganografia >>  Exemplo - Imagem
Análise de Artefatos •  Análise de um código malicioso para descoberta de suas funcionalidades •  Tipos de análise: Estáti...
Análise de Artefatos •  Execução do Malware dentro de um ambiente controlado •  Análise comparativa do sistema •  É finali...
Análise de Artefatos •  Leitura do código • “ Descompilação” •  Uso de disassemblers •  Elevado conhecimento de linguagens...
Análise de Artefatos •  Máquina isolada ou máquina virtual (Sandbox) •  Acesso à rede seja praticamente nulo (host-only) •...
Ferramentas >>  Ferramentas Nativas - UNIX •  strings –  Extrai mensagens de texto de arquivos ou dispositivos •  grep –  ...
Ferramentas >>  Ferramentas Nativas - UNIX •  Coleta de informações voláteis –  Conexões TCP # netstat –natp | tee conexoe...
Ferramentas >>  Ferramentas Nativas - UNIX •  Coleta de informações voláteis –  Tráfego para determinado endereço: # tcpdu...
Ferramentas >>  Ferramentas Nativas - UNIX •  Coleta de informações voláteis –  Informações sobre porta específica (TCP) #...
Ferramentas >>  Ferramentas Nativas - UNIX Perícia com Estação Pericial Remota - Netcat (nc) •  Recebimento de dados da má...
Ferramentas >>  Ferramentas Nativas - UNIX Geração de Imagem Pericial – dd •  Geração da Imagem: # dd if=/dev/hda1 of=imag...
Ferramentas >>  Ferramentas Nativas - UNIX Geração de Imagem Pericial Remotamente - dd + ssh •  Gerando uma Imagem de form...
Ferramentas >>  Ferramentas Nativas - UNIX Identificação da Imagem Pericial •  Verificando Imagem (integridade): # dd if=/...
Ferramentas >>  Ferramentas Nativas - UNIX • Apesar de ser a maneira mais simples, o utilitário dd não oferece algumas fun...
Ferramentas >>  The Coroner's Toolkit (TCT) •  Criado por Dan Farmer e Wietse Venema •  6 de agosto de 1999 •  IBM T.J. Wa...
Ferramentas >>  The Coroner's Toolkit (TCT) •  Coleção de scripts Perl •  Ferramentas mais conhecidas: grave­robber: captu...
Ferramentas >>  The Coroner's Toolkit (TCT) •  Uso do TCT em recuperação de dados apagados: unrm + lazarus Visualização vi...
Ferramentas >>  The Coroner's Toolkit (TCT) •  Coleta de dados (varredura de áreas “apagadas”) unrm /dev/hdb1 >> imagem.ou...
Ferramentas >>  The Coroner's Toolkit (TCT) Limitações: •  Não reconhece partições NTFS, FAT e EXT3 •  Interface Pouco Ami...
Ferramentas >>  Sleuth Kit •  Inicialmente chamado T@SK ­ The @stake Sleuth Kit •  Baseado no TCT •  Criado por  Brian Car...
Ferramentas >>  The Autopsy Forensic Browser •  Interface gráfica (escrita em Perl) para o Sleuth Kit •  Baseada em HTML, ...
Ferramentas >>  The Autopsy Forensic Browser •  Pode ser executado diretamente no sistema comprometido •  Possibilita arma...
Ferramentas >>  The Autopsy Forensic Browser •  Iniciado via linha de comando •  Acessado via navegador web •  Galeria de ...
Analisar a imagem recuperada de um disquete e responder  as questões propostas. 1. Quem são os fornecedores de maconha de ...
>>  Exame de Conteúdo (File Analysis) Estudo de Caso 1
>>  Exame de Conteúdo do Arquivo Apagado Estudo de Caso 1
>>  Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1
>>  Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1
>>  Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1
>>  Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1
<ul><ul><li>Descrição </li></ul></ul>Computador comprometido em instituição corporativa Equipe chamada para realizar a inv...
<ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante?...
Quanto tempo durou o ataque?
Qual o sistema operacional do host atacado? </li></ul></ul>Qual o serviço? Qual a vulnerabilidade? <ul><ul><li>Você pode c...
<ul><ul><li>Qual a vulnerabilidade utilizada exatamente?
Houve a utilização de algum  malware ? Se sim, diga seu nome.
Trata-se de um ataque manual ou automatizado? </li></ul></ul>Perguntas Estudo de Caso 2
<ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante?...
Quanto tempo durou o ataque?
Qual o sistema operacional do host atacado? </li></ul></ul>Qual o serviço? Qual a vulnerabilidade? <ul><ul><li>Você pode c...
Quais os sistemas envolvidos? Estudo de Caso 2
<ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante?...
Upcoming SlideShare
Loading in...5
×

Análise Forense Computacional com Software Livre - Free Software Rio 2010

9,103

Published on

1 Comment
9 Likes
Statistics
Notes
No Downloads
Views
Total Views
9,103
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
656
Comments
1
Likes
9
Embeds 0
No embeds

No notes for slide
  • Em Crime by computer, o autor Donn B. Parker cita o primeiro caso que se teve notícia nos EUA, mais precisamente no estado de Minnesota, noticiado através do Minneapolis Tribune do dia 18 de outubro de 1966, sob o título &amp;quot;PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO&amp;quot;
  • Computação Forense é a ciência que trata do exame, análise e investigação de um incidente computacional, ou seja, que envolvam a computação como meio, sob a ótica forense, sendo ela cível ou penal. Na criminalística a Computação Forense visa determinar causas, meios, autoria e conseqüências de um incidente computacional.
  • A computação forense vsa auxiliar na investigação de violações de normas e/ou crimes eletrônicos.
  • Cavalo de Tróia - Quadrilha especializada em cometer crimes pela internet, contra bancos e clientes. Criaram sites e programas de computador capazes de capturar senhas e outras informações pessoais dos clientes que movimentavam as contas a partir da internet. Cavalo de Tróia II - Quadrilha de “hackers”, internautas e laranjas, que desviou R$ 240 milhões de bancos públicos e privados do país pela internet. Anjo da Guarda - 18 mandados de busca e apreensão em oito estados, com o objetivo recolher material de informática, fitas e CD’s contendo pornografia infantil. O responsável foi preso acusado de ter produzido, divulgado e trocado no exterior, via internet, fotos e vídeos de atos sexuais com menores de idade.
  • Anjo da Guarda II A segunda fase da Operação Anjo da Guarda prendeu no dia 31 de agosto, cinco pessoas acusadas de produzir e divulgar através da Internet fotos e vídeos contendo pornografia infantil.. Pégasus Desencadeada no dia 25 de agosto, prendeu integrantes de uma organização criminosa especializada em invadir contas bancárias através da Internet. Os fraudadores, conhecidos popularmente como ‘hackers’ ou ‘crackers’, causavam prejuízos a correntistas de todas as grandes instituições bancárias no país desde 2001, e alguns deles já tinham sido presos em outras operações realizadas pela Polícia Federal. Galáticos Prendeu no dia 23 de agosto integrantes de uma quadrilha que desviava dinheiro de contas bancárias através da Internet. Eram utilizados programas do tipo &amp;quot;Spyware&amp;quot; para capturar senhas bancárias de correntistas de vários bancos, principalmente a Caixa Econômica Federal. Estes programas eram disseminados através de e-mails com mensagens falsas (da Receita Federal e do Serasa), e também em sites de relacionamento como o Orkut.
  • O caso Abadia (26/03/2008): “ Em reportagem exclusiva no Fantástico, foi revelado que Ramirez Abadia enviou pela internet mais de duzentas mensagens de voz para comparsas do narcotráfico na colômbia. As mensagens sonoras estavam escondidas dentro de fotografias, graças a um sofisticado programa de computador.” Fonte: http://g1.globo.com/Noticias/SaoPaulo/0,,MUL363681-5605,00.html PF não consegue decifrar criptografia dos arquivos de Daniel Dantas Folha Online O impasse levou os investigadores da PF a estudar uma alternativa jurídica para o rompimento do sigilo. Em conjunto com o juiz federal Fausto De Sanctis, informado há mais de um mês sobre os problemas nos HDs, os policiais discutem a possibilidade de obrigar, por ordem judicial, a empresa norte-americana que criou o software a fornecer as chaves eletrônicas que abrem os arquivos. É também aguardada a chegada de um grupo de peritos da PF de Brasília.
  • Ex.: Boaz Guttman http://www.4law.co.il
  • Os discos rígidos são formados por platters posicionados em pilha. Os dados são gravados por “heads” posicionados nos dois lados de cada platter. Conforme o platter gira o head se move em direção ao centro da superfície buscando o local da gravação.
  • Disk file system: • Utilizado em dispositivos de armazenamento, como o HD por exemplo. Network file system: • Permite utilizar arquivos pela rede, montando partições remotamente. Database file system: • Arquivos são identificados por características como tipo, autor e outros metadados.
  • FAT (File Allocation Table) • Desenvolvido para MS-DOS • Usado em todas as versões do Microsoft Windows. • Minimalista e de fácil implementação FAT32 • Algumas correções e melhorias em relação ao FAT. NTFS (New Technology File System) – v1.2 utilizado em NT 3.51 e NT 4. – v3.0 utilizado no Windows 2000. – v3.1 utilizado no Windows XP e Windows Server 2003. • Informações como nome do arquivo, data de criação, permissões são gravadas como metadados.
  • Caso sejam compactados por algum utilitário de compactação (zip, gzip, tar, etc), eles não poderão ser montados dessa forma, requerendo que sejam descompactados antes de serem montados e usados. Todas as informações relativas ao caso ou ao arquivo devem ser armazenadas à parte, em outros arquivos/dispositivos; Para se montar uma imagem de 80Gb dividida em 10 pedaços de 8Gb, os pedaços precisam ser concatenados antes e somente após isso podem ser montados.
  • A duplicação dos dados é essencial para garantir a integridade das evidências. Evidências podem ser destruídas facilmente por atitudes descuidadas por parte dos analistas.
  • Exemplos: Copiando partição para outro disco: • dd if=/dev/sda2 of=/dev/sdb2 bs=4096 conv=notrunc,noerror Criando uma imagem de CD: • dd if=/dev/hdc of=/tmp/mycd.iso bs=2048 conv=notrunc Restaurando uma partição a partir de um arquivo de imagem: • dd if=/tmp/imagem.iso of=/dev/sdb2 bs=4096 conv=notrunc,noerror Copiando a memória para um arquivo: • dd if=/dev/mem of=/tmp/mem.bin bs=1024
  • Transcript of "Análise Forense Computacional com Software Livre - Free Software Rio 2010"

    1. 1. - www.clavis.com.br -
    2. 2. Análise Forense Computacional Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias Clavis Segurança da Informação [email_address]
    3. 3. Introdução <ul><li>Fraudes bancárias
    4. 4. Fraudes contra o governo
    5. 5. Fraudes contra o usuário
    6. 6. Primeiro Caso Noticiado (Minneapolis Tribune, 18 de outubro de 1966): </li></ul>&quot;PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO&quot; >> Breve Histórico
    7. 7. Introdução “ Coleta e análise de dados de maneira não tendenciosa e o mais livre de distorção possível, para reconstruir dados ou o que aconteceu no passado em um sistema” (Dan Farmer e Wietse Venema – Computer Forensics Analysis Class Handouts) “ A aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade” (Manual de Patologia Forense do Colégio de Patologistas Americanos) >> Definição
    8. 8. Introdução Levantar evidências que contam a história do fato: <ul><li>Quando?
    9. 9. Como?
    10. 10. Porque?
    11. 11. Onde? </li></ul>>> Objetivos
    12. 12. Introdução <ul><li>Suprir as necessidades das instituições legais para manipulação de evidências eletrônicas </li></ul><ul><li>Estudar a aquisição, preservação, identificação, recuperação e análise de dados em formato eletrônico </li></ul><ul><li>Produzir informações diretas e não interpretativas </li></ul><ul><li>Identificar, Rastrear e Comprovar a autoria de ações criminosas </li></ul>>> Objetivos
    13. 13. Introdução <ul><li>Defacements (violação de dados e/ou difamação)
    14. 14. Roubo de Dados e/ou Negação de Serviço
    15. 15. E­mails falsos (Phishing Scam, Difamação, Ameaças)
    16. 16. Transações bancárias (Internet Banking)
    17. 17. Disseminação de Pragas Vituais, Pirataria e Pedofilia
    18. 18. Crimes comuns com evidências em mídias digitais
    19. 19. Etc etc etc... </li></ul>>> Motivação
    20. 20. Introdução Segundo estimativas do Gartner Group: <ul><li>PHISHING SCAMS custaram 1,2 bilhão de dólares às administradoras de cartão de crédito e bancos americanos em 2007 </li></ul><ul><li>Também em 2007, 57 milhões de americanos estiveram sujeitos a este tipo de fraude online </li></ul>>> Motivação
    21. 21. Introdução <ul><li>CAVALO­DE­TRÓIA Novembro/2003 </li></ul>Pará, Maranhão, Teresina e Ceará. 27 prisões <ul><li>CAVALO­DE­TRÓIA II Outubro/2004 </li></ul>Pará, Maranhão, Tocantins e Ceará. 64 prisões <ul><li>MATRIX Março/2005 </li></ul>Rio Grande do Sul 8 Prisões <ul><li>ANJO DA GUARDA I Julho/2005 </li></ul>Buscas em 8 Estados Prisão em Volta Redonda­RJ >> Casos Conhecidos
    22. 22. Introdução >> Casos Conhecidos <ul><li>ANJO DA GUARDA II Agosto /2005 </li></ul>Cumprimento de prisões em PR, SP, MA <ul><li>PEGASUS ­ setembro/2005 </li></ul>127 Prisões em Goiás, Tocantins, Pará, ES, SP e MG <ul><li>GALÁCTICOS – agosto/06 </li></ul>Cerca de 65 prisões / Imperatriz/MA <ul><li>REPLICANTE – setembro/06 </li></ul>Cerca de 60 prisões / Goiânia/GO
    23. 23. Introdução >> Casos Conhecidos <ul><li>CTRL ALT DEL – dezembro/06 </li></ul>Cerca 39 prisões no Pará <ul><li>CARROSSEL ­ dezembro/07 </li></ul>Cerca de 14 estados no BR e 78 países <ul><li>Caso Abadia </li></ul><ul><li>Caso Dantas </li></ul>
    24. 24. Processo Investigativo <ul><li>Profundos conhecimentos técnicos </li></ul><ul><li>Conhecimento de ferramentas específicas </li></ul><ul><li>Ética </li></ul><ul><li>Inexistência de envolvimento pessoal ou julgamento dos praticantes dos delitos </li></ul>>> Metodologia
    25. 25. Processo Investigativo <ul><li>Cópia integral (e fiel) das mídias </li></ul><ul><li>Verificação de Integridade através de Hashs </li></ul><ul><li>Preservação dos Logs </li></ul><ul><li>Ata Notarial (constatação escrita, atestada por testemunhas, da ocorrência de um fato) </li></ul>>> Metodologia
    26. 26. Processo Investigativo • Análise de dados e sistemas apenas com autorização do responsável ou ordem judicial • Restrição na área de busca para não violar a privacidade de inocentes • Aderência com a Política de Segurança local >> Metodologia
    27. 27. Processo Investigativo • Aquisição • Preservação • Identificação • Extração • Recuperação • Análise • Apresentação (documentação / Laudo Pericial) >> Metodologia
    28. 28. Processo Investigativo • Inexistência de Normas e Leis • Cooperação internacional • Aumento do número de crimes cibernéticos • Aumento na capacidade de armazenamento • Novas técnicas (criptografia/anti-forense) >> Desafios
    29. 29. Processo Investigativo • Quais procedimentos e/ou ferramentas podem ser utilizados legalmente? • Obrigações dos provedores e usuários • Logs de acesso e dados cadastrais (Cyber-cafés e Lan-Houses) >> Aspectos Legais
    30. 30. Processo Investigativo • Na falta de regulamentação específica, é feito um paralelo com métodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrônica • É fundamental ao perito a compreensão do Código de Processo Penal - &quot;Capítulo II - Do Exame do Corpo de Delito, e das Perícias em Geral”. >> Aspectos Legais
    31. 31. Processo Investigativo • Artigo 170: &quot;Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas“. • Artigo 171: &quot;Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado&quot;. >> Aspectos Legais
    32. 32. Processo Investigativo • Exemplo de adaptação das normas da perícia convencional (Código de Processo Penal): – “ ...os peritos guardarão material suficiente para a eventualidade de nova perícia...” (do Código de Processo Penal - Artigo 170) – Entende-se que deve-se fazer cópias com assinaturas digitais para análise futura. >> Aspectos Legais
    33. 33. Processo Investigativo “ Todo contato deixa vestígio” Edmond Locard >> Tratamento de Evidências
    34. 34. Processo Investigativo <ul><li>Definição </li></ul>Aquilo que determina ou estabelece a verdade de um fato ocorrido no ambiente digital <ul><li>Características </li></ul>Dado + Contexto + Fator Tempo >> Tratamento de Evidências
    35. 35. Processo Investigativo Aquisição - O que Coletar? • Mídias: Hds, pendrives, cds, dvds... • Dados em memória: “Live Forensics” • Dados trafegando pela rede • Dispositivos não convencionais: Câmeras digitais, óculos/relógios/pulseiras >> Tratamento de Evidências
    36. 36. Processo Investigativo Interfaces externas auxiliam no processo de aquisição: Exemplo: IDE/SATA para USB >> Tratamento de Evidências
    37. 37. Processo Investigativo É recomendado o uso de bloqueadores de escrita ( “Write Blockers” ) para aquisição a partir das mídias originais. >> Tratamento de Evidências
    38. 38. Processo Investigativo Estão disponíveis no mercado Maletas com kits otimizados para aquisição de dados de várias mídias. >> Tratamento de Evidências
    39. 39. Processo Investigativo Aquisição Remota • Mídias muito grandes e/ou equipamentos de coleta limitados (ou inexistentes) • Uso da rede para envio de dados • Estação pericial remota • Essencial o uso de Criptografia • Principal Dificuldade: Atestar integridade dos dados >> Tratamento de Evidências
    40. 40. Processo Investigativo Em alguns casos é necessário uma Ordem Judicial para se ter acesso aos dados: <ul><li>Sistemas de arquivos remotos
    41. 41. Backups em provedores de conteúdo
    42. 42. Servidores corporativos externos
    43. 43. Datacenters internacionais </li></ul>>> Tratamento de Evidências
    44. 44. Processo Investigativo Preservação • A alteração de dados pode ser comparada a alteração da cena de um crime no mundo real. • Impedir alteração da mídia original antes e durante os procedimentos de aquisição • Assinaturas hash são utilizadas para garantir a integridade dos dados coletados >> Tratamento de Evidências
    45. 45. Processo Investigativo Identificação – Cadeia de Custódia • Todo o material coletado para análise deve ser detalhadamente relacionado em um documento (Cadeia de Custódia) >> Tratamento de Evidências
    46. 46. Processo Investigativo Extração/Recuperação • Extração é o processo de retirar as informações disponíveis das mídias • Recuperação é o processo de buscar dados removidos total ou parcialmente, propositalmente ou não. • Em alguns casos a manipulação dos dados poderá ser feita por um perito contratado por advogados que contestaram os laudos >> Tratamento de Evidências
    47. 47. Processo Investigativo Análise • Extração de Informações a partir dos dados coletados • Geralmente iniciada pela criação da linha do tempo de atividades >> Tratamento de Evidências
    48. 48. Processo Investigativo <ul><li>&quot;Substanciação da evidência&quot; </li></ul><ul><li>Enquadramento das evidências em formato propício para apresentação em julgamentos </li></ul><ul><li>Deve representar as conclusões do perito em linguagem clara (ou com dados técnicos comentados) </li></ul>>> Apresentação de Resultados
    49. 49. Processo Investigativo Os Laudos devem conter: <ul><li>Finalidade da Investigação
    50. 50. Autor(es) do Laudo
    51. 51. Resumo do incidente
    52. 52. Relação de evidências analisadas e seus detalhes
    53. 53. Conclusão
    54. 54. Anexos
    55. 55. Glossário
    56. 56. Metodologia / técnicas / softwares utilizados </li></ul>>> Apresentação de Resultados
    57. 57. Mídias e Sistemas de Arquivos Dispositivo mais utilizado para armazenamento de dados Dados gravados em “trilhas” e “setores” de forma magnética Principais Componentes: • Cylinder • Head • Platter >> Discos Rígidos (HDs)
    58. 58. Mídias e Sistemas de Arquivos Memória flash do tipo NAND com interface USB Vantagens: • Menor e mais leve • Regravável • Rápido e com alto poder de armazenamento • Não requer fonte externa de energia Principais usos: • Dados Pessoais • Aplicações e Sistemas Operacionais • Players de audio e vídeo >> Memórias Flash
    59. 59. Mídias e Sistemas de Arquivos <ul><li>Organiza os dados de forma hierárquica </li></ul><ul><li>Facilita a navegação e a manutenção dos arquivos </li></ul><ul><li>Utilizado em todos os dispositivos de armazenamento </li></ul><ul><li>Organização dos arquivos em árvore </li></ul><ul><li>Estrutura de diretórios e sub-diretórios </li></ul><ul><li>Permissões e controles de acesso </li></ul>>> Particionamento e Abstrações
    60. 60. Mídias e Sistemas de Arquivos Sistemas de arquivos para Linux: • EXT • EXT2 • EXT3 • EXT4 • ReiserFS • XFS • ZFS >> Particionamento e Abstrações
    61. 61. Mídias e Sistemas de Arquivos Sistemas de arquivos para Windows: • FAT • FAT32 • NTFS >> Particionamento e Abstrações
    62. 62. Mídias e Sistemas de Arquivos • ISO 9660 (International Organization for Standardization) • Sistema de arquivos para CDs e DVDs • Compatibilidade com diversos sistemas operacionais: Microsoft Windows, Mac OS, e UNIX-like >> Particionamento e Abstrações
    63. 63. Dados, Informações e Evidências >> Ordem de Volatilidade Principais fontes de informação de um sistema: <ul><li>Dispositivos da CPU (registradores e caches)
    64. 64. Memória de periféricos (ex: memória de vídeo)
    65. 65. Memória principal do sistema
    66. 66. Tráfego de rede (pacotes em trânsito na rede)
    67. 67. Estado do sistema operacional
    68. 68. Dispositivos de armazenagem secundária </li></ul>
    69. 69. Dados, Informações e Evidências • Aquisição de uma imagem de um HD é, em muitos casos, o ponto de partida de uma investigação • A técnica conhecida como &quot;dead analysis&quot; determina que o HD a ser analisado deve ser clonado bit a bit e qualquer análise deve ser feita nessa cópia, de forma a manter o HD íntegro • A imagem deve copiar todos os dados do HD, incluindo as partes não utilizadas >> Coleta
    70. 70. Dados, Informações e Evidências O que utilizar ? • Existem várias ferramentas para esta tarefa • A maioria implementa o mesmo formato (raw) • Esse é, literalmente, uma cópia fiel do HD • Formato gerado pela ferramenda dd (padrão) • Entretanto não é o único formato disponível >> Coleta
    71. 71. Dados, Informações e Evidências Imagens RAW – Pontos Positivos • Formato facilmente “montável” • Independe de ferramentas específicas • Muitas ferramentas disponíveis, tanto para linha de comando (CLI) quanto para interface gráfica (GUI) • Disponível em utilitários tanto para Linux quanto para Windows >> Coleta
    72. 72. Dados, Informações e Evidências >> Coleta Imagens RAW – Pontos Negativos • Arquivos muito grandes e sem suporte a compactação • Não é possível adicionar dados da investigação ao arquivo raw • Não monta facilmente se estiver dividido • Algumas operações são mais lentas devido ao grande tamanho
    73. 73. Dados, Informações e Evidências Outros Tipos de Imagens: • Expert Witness (E01) Propietário do Encase Permite compactação (sem perda) • Advanced Forensic Format (AFF) Tentativa de padronização Usa compactação e tratamento de erros Em fase de testes >> Coleta
    74. 74. Dados, Informações e Evidências • Plano de contingência para eventuais erros causados por algum procedimento da análise • Recomeda-se o uso de pelo menos duas cópias >> Duplicação e Preservação
    75. 75. Dados, Informações e Evidências • Principal ferramenta “dd” • Cópia bit-stream • Faz cópia de qualquer dispositivo que possa ser montado e acessado no Linux • Outras ferramentas podem ler e analisar arquivos gerados pelo “dd” Sintaxe: dd if=/*origem* of=/*destino* >> Duplicação e Preservação
    76. 76. Dados, Informações e Evidências Cópia remota: Máquina origem • dd if=/dev/hda | netcat IP_destino 1234 Máquina destino • netcat -l -p 1234 > imagem.dd >> Duplicação e Preservação
    77. 77. Dados, Informações e Evidências • Remoção de arquivo é uma abstração do FS • Dados permanecem intactos até serem sobrescritos • Taxa de utilização do disco não é uniforme >> Recuperação de Arquivos
    78. 78. Tráfego de Rede • Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) • Portas suspeitas • Tráfego intenso com pacotes incomuns à rede ou que deveriam estar desabilitados >> Análise do Tráfego de Rede
    79. 79. Tráfego de Rede • Pacotes contendo comandos, saídas de comandos e códigos de NOP’s; • Flood de pacotes para um determinado serviço ou máquina >> Análise do Tráfego de Rede
    80. 80. Tráfego de Rede Requisições HTTP suspeitas: • Mesma URL em várias requisições • URL’s contendo referências a comandos >> Análise do Tráfego de Rede
    81. 81. Tráfego de Rede • Análise dos pacotes capturados • Reprodução da sessão capturada • Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados) >> Análise do Tráfego de Rede
    82. 82. Tráfego de Rede Tcpdump • Ferramenta tradicional de captura de tráfego • Aceita filtros por expressões • Biblioteca padrão para captura de tráfego: libpcap s capturados >> Análise do Tráfego de Rede
    83. 83. Tráfego de Rede Wireshark • Mais completo dos analisadores de tráfego • Possibilita remontar uma sessão • Estrutura em árvore • Possibilidade de criação de filtros >> Análise do Tráfego de Rede
    84. 84. Esteganografia >> Definição Conjunto de princípios e técnicas empregadas para esconder uma mensagem dentro de outra. Pode ser aplicada em: Textos Imagens Áudios Vídeos
    85. 85. >> Exemplo simples - Imagem A imagem ao lado apresenta 3 valores RGB diferentes: (0, 0, 0) - Preto (255, 255, 255) - Branco (255, 255, 254) – Branco (?!?!) Esteganografia
    86. 86. Substituindo o “pseudo-branco” por roxo é possível ver o desenho de um urso, como visto ao lado: Esteganografia >> Exemplo simples - Imagem
    87. 87. Como Luiz Antônio vai invadir a Suécia ?!?! Esteganografia >> Exemplo simples - Texto
    88. 88. Como Luiz Antônio vai invadir a Suécia ?!?! C omo L uiz A ntônio v ai i nvadir a S uécia ?!?! Esteganografia >> Exemplo simples - Texto
    89. 89. Como Luiz Antônio vai invadir a Suécia ?!?! C omo L uiz A ntônio v ai i nvadir a S uécia ?!?! Mensagem escondida: CLAVIS Esteganografia >> Exemplo simples - Texto
    90. 90. JP Hide-&-Seek (JPHS) Esteganografia >> Exemplo - Imagem
    91. 91. Análise de Artefatos • Análise de um código malicioso para descoberta de suas funcionalidades • Tipos de análise: Estática – Engenharia Reversa – Disassemblers Dinâmica – Comportamental – Debuggers >> Tipos e Objetivo
    92. 92. Análise de Artefatos • Execução do Malware dentro de um ambiente controlado • Análise comparativa do sistema • É finalizada quando o Malware termina sua execução ou entra em execução estacionária • Ferramenta: OllyDBG, GDB ... >> Análise Dinâmica
    93. 93. Análise de Artefatos • Leitura do código • “ Descompilação” • Uso de disassemblers • Elevado conhecimento de linguagens de baixo nível • Tempo dedicado e paciência >> Análise Estática
    94. 94. Análise de Artefatos • Máquina isolada ou máquina virtual (Sandbox) • Acesso à rede seja praticamente nulo (host-only) • Sistemas operacionais distintos • Dificultar comprometimento da máquina host • Uso de snapshots >> Técnicas de Confinamento
    95. 95. Ferramentas >> Ferramentas Nativas - UNIX • strings – Extrai mensagens de texto de arquivos ou dispositivos • grep – Procura por padrões em arquivos – Utilizado como filtro por vários comandos no Linux • file – Identifica o tipo de arquivo
    96. 96. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Conexões TCP # netstat –natp | tee conexoes.tcp – Conexões UDP # netstat –naup | tee conexoes.udp – Processos em Execução # ps aux | tee processos
    97. 97. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Tráfego para determinado endereço: # tcpdump -n -vv -X -s 1518 host <endereço> -w trafego.dump – Arquivos Abertos e Relacionamentos com Processos # lsof | tee arquivos
    98. 98. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Informações sobre porta específica (TCP) # fuser –v <porta>/tcp > porta.tcp – Informações sobre porta específica (UDP) # fuser –v <porta>/udp > porta.udp – Módulos Ativos # lsmod | tee –a modulos.info # cat /proc/modules | tee –a modulos.info
    99. 99. Ferramentas >> Ferramentas Nativas - UNIX Perícia com Estação Pericial Remota - Netcat (nc) • Recebimento de dados da máquina periciada: # nc –l –p <porta> | tee <arquivo> • Envio de informações para a máquina remota: # cat <arquivo> | nc <máquina remota> <porta remota>
    100. 100. Ferramentas >> Ferramentas Nativas - UNIX Geração de Imagem Pericial – dd • Geração da Imagem: # dd if=/dev/hda1 of=imagem.dd • Montando uma imagem: # mount <imagem> <destino> -o ro,loop
    101. 101. Ferramentas >> Ferramentas Nativas - UNIX Geração de Imagem Pericial Remotamente - dd + ssh • Gerando uma Imagem de forma segura (criptografia): # dd if=/dev/hdb2 | ssh user@host dd of=imagem.img
    102. 102. Ferramentas >> Ferramentas Nativas - UNIX Identificação da Imagem Pericial • Verificando Imagem (integridade): # dd if=/dev/hda1 | md5sum –b deve ser igual a # dd if=imagem.dd | md5sum –b
    103. 103. Ferramentas >> Ferramentas Nativas - UNIX • Apesar de ser a maneira mais simples, o utilitário dd não oferece algumas funcionalidades importantes • O dd_rescue serve para realizar aquisições de mídias com problemas (o dd não é tolerante a erros) • O dcfldd possui um log de toda a operação, faz divisão da imagem (split) e verificação de integridade
    104. 104. Ferramentas >> The Coroner's Toolkit (TCT) • Criado por Dan Farmer e Wietse Venema • 6 de agosto de 1999 • IBM T.J. Watson Research Center • Palestra promovida pela IBM: “ UNIX Computer Forensics Analysis”
    105. 105. Ferramentas >> The Coroner's Toolkit (TCT) • Coleção de scripts Perl • Ferramentas mais conhecidas: grave­robber: captura de informações ils / mactime: informações sobre acesso a arquivos findkey: recuperação de chaves criptográficas unrm / lazarus: recuperação de arquivos apagados
    106. 106. Ferramentas >> The Coroner's Toolkit (TCT) • Uso do TCT em recuperação de dados apagados: unrm + lazarus Visualização via browser Identificação de tipo (provável) de dado recuperado baseado em legenda
    107. 107. Ferramentas >> The Coroner's Toolkit (TCT) • Coleta de dados (varredura de áreas “apagadas”) unrm /dev/hdb1 >> imagem.out • Geração de código HTML para análise lazarus -h -D . –H . -w . imagem.out -h cria um documento HTML -D <dir> direciona a escrita de blocos -H <dir> direciona os principais arquivos HTML -w <dir> direciona outras saídas HTML
    108. 108. Ferramentas >> The Coroner's Toolkit (TCT) Limitações: • Não reconhece partições NTFS, FAT e EXT3 • Interface Pouco Amigável • Ausência de mecanismo de catalogação de perícias realizadas
    109. 109. Ferramentas >> Sleuth Kit • Inicialmente chamado T@SK ­ The @stake Sleuth Kit • Baseado no TCT • Criado por Brian Carrier (2002) • Analisa sistemas de arquivos NTFS, FAT, UFS, EXT2 e EXT3 • Também criador de ferramentas de otimização baseadas no TCT - TCTUTILS
    110. 110. Ferramentas >> The Autopsy Forensic Browser • Interface gráfica (escrita em Perl) para o Sleuth Kit • Baseada em HTML, semelhante a um gerenciador de arquivos • Permite analisar arquivos, diretórios, blocos de dados e i­nodes (alocados ou apagados) • Permite a busca por palavras­chave ou expressões regulares.
    111. 111. Ferramentas >> The Autopsy Forensic Browser • Pode ser executado diretamente no sistema comprometido • Possibilita armazenamento de casos para eventual análise posterior • Individualiza os investigadores de um mesmo caso
    112. 112. Ferramentas >> The Autopsy Forensic Browser • Iniciado via linha de comando • Acessado via navegador web • Galeria de “Cases” (Case Gallery) • Galeria de “Hosts” (Host Gallery) • Gerenciador de “Hosts” (Host Manager) • Imagem associadas a casos
    113. 113. Analisar a imagem recuperada de um disquete e responder as questões propostas. 1. Quem são os fornecedores de maconha de Joe Jacobs e qual o endereço informado pelo fornecedor? 2. Que dados cruciais estão disponíveis dentro do arquivo coverpage.jpg e porque estes dados são cruciais? 3. Quais (se existe alguma) outras escolas além da Smith Hill Joe Jacobs frequenta? Estudo de Caso 1
    114. 114. >> Exame de Conteúdo (File Analysis) Estudo de Caso 1
    115. 115. >> Exame de Conteúdo do Arquivo Apagado Estudo de Caso 1
    116. 116. >> Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1
    117. 117. >> Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1
    118. 118. >> Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1
    119. 119. >> Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1
    120. 120. <ul><ul><li>Descrição </li></ul></ul>Computador comprometido em instituição corporativa Equipe chamada para realizar a investigação forense na máquina <ul><ul><li>Situação </li></ul></ul>O host em questão já havia sido formatado e posto em produção novamente Obtenção do registro das comunicações do computador afetado através de equipamentos instalados na rede para este fim. <ul><ul><li>Objetivo </li></ul></ul>Analisar o log fornecido em formato pcap e responder às perguntas seguintes. Honeynet - Desafio 2010/01 http://www.honeynet.org/node/504 Estudo de Caso 2
    121. 121. <ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante? </li></ul></ul><ul><ul><li>Quantas sessões TCP foram encontradas no log?
    122. 122. Quanto tempo durou o ataque?
    123. 123. Qual o sistema operacional do host atacado? </li></ul></ul>Qual o serviço? Qual a vulnerabilidade? <ul><ul><li>Você pode criar um resumo das atividades realizadas pelo </li><ul><li>atacante? </li></ul></ul></ul>Perguntas Estudo de Caso 2
    124. 124. <ul><ul><li>Qual a vulnerabilidade utilizada exatamente?
    125. 125. Houve a utilização de algum malware ? Se sim, diga seu nome.
    126. 126. Trata-se de um ataque manual ou automatizado? </li></ul></ul>Perguntas Estudo de Caso 2
    127. 127. <ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante? </li></ul></ul><ul><ul><li>Quantas sessões TCP foram encontradas no log?
    128. 128. Quanto tempo durou o ataque?
    129. 129. Qual o sistema operacional do host atacado? </li></ul></ul>Qual o serviço? Qual a vulnerabilidade? <ul><ul><li>Você pode criar um resumo das atividades realizadas pelo </li><ul><li>atacante? </li></ul></ul></ul>Perguntas Estudo de Caso 2
    130. 130. Quais os sistemas envolvidos? Estudo de Caso 2
    131. 131. <ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante? </li></ul></ul><ul><ul><li>Quantas sessões TCP foram encontradas no log?
    132. 132. Quanto tempo durou o ataque?
    133. 133. Qual o sistema operacional do host atacado? </li></ul></ul>Qual o serviço? Qual a vulnerabilidade? <ul><ul><li>Você pode criar um resumo das atividades realizadas pelo </li><ul><li>atacante? </li></ul></ul></ul>Perguntas Estudo de Caso 2
    134. 134. Que informações você encontrou sobre o host atacante? Trata-se de um computador pertencente ao bloco de endereços ip alocado à empresa Verizon Internet Services Inc. (http://www.verizon.net) Segundo o órgão responsável pela alocação de endereços ip na américa do norte (ARIN - https://ws.arin.net/whois): OrgName: Verizon Internet Services Inc. OrgID: VRIS Address: 1880 Campus Commons Dr City: Reston StateProv: VA PostalCode: 20191 Country: US NetRange: 98.108.0.0 - 98.119.255.255 CIDR: 98.108.0.0/14, 98.112.0.0/13 Estudo de Caso 2
    135. 135. <ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante? </li></ul></ul><ul><ul><li>Quantas sessões TCP foram encontradas no log?
    136. 136. Quanto tempo durou o ataque?
    137. 137. Qual o sistema operacional do host atacado? </li></ul></ul>Qual o serviço? Qual a vulnerabilidade? <ul><ul><li>Você pode criar um resumo das atividades realizadas pelo </li><ul><li>atacante? </li></ul></ul></ul>Perguntas Estudo de Caso 2
    138. 138. Quantas sessões TCP foram encontradas no log ? Uma vez que o envio de pacotes contendo a flag SYN não constitui estabelecimento de conexão, percebe-se a necessidade de adoção de outra forma de julgamento para determinar a existência de handshakes completos. Utlizando os filtros &quot;tcp.flags == 0x02&quot; (SYN), &quot;tcp.flags == 0x11&quot; (FIN/ACK) e &quot;tcp.flags == 0x12&quot; (SYN/ACK) podemos acompanhar a evolução dos estados da comunicação. Embora apenas 4 conexões tenham sido finalizadas com pacotes FIN, existiu uma quinta conexão que foi encerrada através de um sinal RST após os estados iniciais de estabelecimento da conexão. Logo, concluímos que existiram 5 sessões entre os hosts durante todo o ataque. Estudo de Caso 2
    139. 139. <ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante? </li></ul></ul><ul><ul><li>Quantas sessões TCP foram encontradas no log?
    140. 140. Quanto tempo durou o ataque?
    141. 141. Qual o sistema operacional do host atacado? </li></ul></ul>Qual o serviço? Qual a vulnerabilidade? <ul><ul><li>Você pode criar um resumo das atividades realizadas pelo </li><ul><li>atacante? </li></ul></ul></ul>Perguntas Estudo de Caso 2
    142. 142. Quanto tempo durou o ataque? Segundo a ferramenta Wireshark, todo o processo durou 16,219218 segundos. . . . Estudo de Caso 2
    143. 143. <ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante? </li></ul></ul><ul><ul><li>Quantas sessões TCP foram encontradas no log?
    144. 144. Quanto tempo durou o ataque?
    145. 145. Qual o sistema operacional do host atacado? </li></ul></ul>Qual o serviço? Qual a vulnerabilidade? <ul><ul><li>Você pode criar um resumo das atividades realizadas pelo </li><ul><li>atacante? </li></ul></ul></ul>Perguntas Estudo de Caso 2
    146. 146. Qual o sistema operacional do host atacado? Qual o serviço? Qual a vulnerabilidade? Sistemas operacionais da família Microsoft Windows esperando por conexões na porta 445. A vulnerabilidade-alvo é uma checagem incorreta de parâmetros no Microsoft Windows LSASS (Local Security Authority Subsystem Service), permitindo que parâmetros extremamente longos fornecidos a um conjunto de funções resulte em corrupção da stack, podendo levar à execução arbitrária de comandos. Estudo de Caso 2
    147. 147. <ul><ul><li>Quais os sistemas envolvidos? </li></ul></ul><ul><ul><li>Que informações você encontrou sobre o host atacante? </li></ul></ul><ul><ul><li>Quantas sessões TCP foram encontradas no log?
    148. 148. Quanto tempo durou o ataque?
    149. 149. Qual o sistema operacional do host atacado?
    150. 150. Você pode criar um resumo das atividades realizadas </li><ul><li>pelo atacante? </li></ul></ul></ul>Perguntas Estudo de Caso 2
    151. 151. Você pode criar um resumo das atividades realizadas pelo atacante? - Estabelece uma conexão na porta 445 para fechá-la em seguida - Acessa o compartilhamento padrão IPC$ através de uma sessão nula (frame 20) - Já conectado, inicia uma requisição para abrir o named pipe lsarpc - Explora a vulnerabilidade CVE-2003-0533 - Acompanhando a conexão iniciada no frame 36, supomos que o shellcode utilizado na exploração abre um terminal na porta 1957 com o programa “ cmd.exe”, aguardando conexões. Estudo de Caso 2
    152. 152. Você pode criar um resumo das atividades realizadas pelo atacante? - O atacante conecta e executa os seguintes comandos: - Ao executar as instruções do atacante, percebemos a seguinte conexão ftp iniciada pelo sistema explorado: - Ainda de acordo com a tela ao lado, devemos procurar pela transferência do arquivo na porta 1080 (PORT 192,150,11,111,4,56) Obs: a conta é: ((4 << 8) | 56) Estudo de Caso 2
    153. 153. Você pode criar um resumo das atividades realizadas pelo atacante? Estudo de Caso 2
    154. 154. <ul><ul><li>Qual a vulnerabilidade utilizada exatamente?
    155. 155. Houve a utilização de algum malware ? Se sim, diga seu nome.
    156. 156. Trata-se de um ataque manual ou automatizado? </li></ul></ul>Perguntas Estudo de Caso 2
    157. 157. Qual a vulnerabilidade utilizada exatamente? A vulnerabilidade empregada foi “Microsoft Windows LSASS Buffer Overrun” CVE: CVE-2003-0533 MS Bulletin: MS04-011 A vulnerabilidade reside no parâmetro szDomainName da função não-documentada DsRoleUpgradeDownlevelServer() de NETAPI32.DLL. Caso forneçamos szDomainName grande demais, LSASS.EXE (que provê funcionalidades ao Active Directory) travará. Note que, idealmente, esta funcionalidade só deveria estar disponível ao host local. No entanto, devido a particularidades da API este tipo de checagem não é feito. Também é possível utilizar esta vulnerabilidade para aumento de privilégios localmente. Estudo de Caso 2
    158. 158. <ul><ul><li>Qual a vulnerabilidade utilizada exatamente?
    159. 159. Houve a utilização de algum malware ? Se sim, diga </li><ul><li>seu nome. </li></ul><li>Trata-se de um ataque manual ou automatizado? </li></ul></ul>Perguntas Estudo de Caso 2
    160. 160. Houve a utilização de algum malware ? Se sim, diga seu nome. Estudo de Caso 2
    161. 161. <ul><ul><li>Qual a vulnerabilidade utilizada exatamente?
    162. 162. Quais as ações realizadas pelo shellcode ? Se possível, indique </li><ul><li>sua localização no log . </li></ul><li>É possível que o host comprometido seja um honeypot ? </li><ul><li>Porquê? </li></ul><li>Houve a utilização de algum malware ? Se sim, diga </li><ul><li>seu nome. </li></ul><li>Trata-se de um ataque manual ou automatizado? </li></ul></ul>Perguntas Estudo de Caso 2
    163. 163. Trata-se de um ataque manual ou automatizado? - Todos os passos do ataque listados anteriormente duraram apenas 16 segundos, tempo insuficiente para que uma pessoa cumprisse todas etapas do processo. - Entre os comandos passados via terminal, o atacante pediu que o computador afetado efetuasse conexão com um endereço ip inválido (0.0.0.0). Um erro tão primário dificilmente seria cometido por alguém digitando os comandos. A provável causa do fornecimento deste endereço é a ocorrência de algum erro no momento da obtenção do endereço da interface de rede pelo bot. Estudo de Caso 2
    164. 164. Sistema Operacional: Red Hat Linux 6.2 Server com instalação padrão Sintomas: Tráfego anômalo detectado pelo IDS Objetivo: Reconstruir os passos do invasor e analisar o impacto destes no sistema Estudo de Caso 3
    165. 165. Nov 7 23:11:51 lisa snort[1260]: IDS362 - MISC - Shellcode X86 NOPS-UDP: 216.216.74.2:710 -> 172.16.1.107:871 11/07-23:11:50.870124 216.216.74.2:710 -> 172.16.1.107:871 UDP TTL:42 TOS:0x0 ID:16143 Len: 456 3E D1 BA B6 00 00 00 00 00 00 00 02 00 01 86 B8 >............... 00 00 00 00 00 00 00 02 00 00 00 00 00 00 00 00 ................ . . . . . . 8D 4E AC 8D 56 B8 CD 80 31 DB 89 D8 40 CD 80 E8 [email_address] B0 FF FF FF 2F 62 69 6E 2F 73 68 20 2D 63 20 65 ..../bin/sh -c e 63 68 6F 20 34 35 34 35 20 73 74 72 65 61 6D 20 cho 4545 stream 74 63 70 20 6E 6F 77 61 69 74 20 72 6F 6F 74 20 tcp nowait root 2F 62 69 6E 2F 73 68 20 73 68 20 2D 69 20 3E 3E /bin/sh sh -i >> 20 2F 65 74 63 2F 69 6E 65 74 64 2E 63 6F 6E 66 /etc/inetd.conf 3B 6B 69 6C 6C 61 6C 6C 20 2D 48 55 50 20 69 6E ;killall -HUP in 65 74 64 00 00 00 00 09 6C 6F 63 61 6C 68 6F 73 etd.....localhos 74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 t............... 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ >> Log do IDS Estudo de Caso 3
    166. 166. Copiando dados das partições e fazendo hashes >> Coleta de Informações Estudo de Caso 3
    167. 167. Remontar as partições do sistema comprometido como somente leitura Criar uma linha do tempo com o The Coroner's Toolkit >> Coleta de Informações Estudo de Caso 3
    168. 168. Analisando a linha do tempo, observamos: >> Reconhecimento e análise de evidências Estudo de Caso 3
    169. 169. Recuperar o arquivo deletado no inode 8133 Analisar o arquivo e seu contexto >> Reconhecimento e análise de evidências Estudo de Caso 3
    170. 170. Nome de domínio encontrado no arquivo “egg.log” >> Reconhecimento e análise de evidências Estudo de Caso 3
    171. 171. Voltando a linha do tempo >> Reconhecimento e análise de evidências Analisando arquivo “inetd” encontrado Estudo de Caso 3
    172. 172. Histórico de comandos comprometido Criação de arquivos confirmando rootkit >> Reconhecimento e análise de evidências Estudo de Caso 3
    173. 173. Verificando se os arquivos foram modificados >> Reconhecimento e análise de evidências Conteúdo dos arquivos Estudo de Caso 3
    174. 174. Mais uma vez, linha do tempo >> Reconhecimento e análise de evidências Continua até aqui Estudo de Caso 3
    175. 175. Recuperando arquivo suspeito >> Reconhecimento e análise de evidências O servidor recém-instalado foi executado! Estudo de Caso 3
    176. 176. Analisando os arquivos de log >> Reconhecimento e análise de evidências As datas batem? Estudo de Caso 3
    177. 177. Recuperando logs apagados >> Reconhecimento e análise de evidências Shell Code encontrado! Estudo de Caso 3
    178. 178. Como o invasor conseguiu o acesso? Qual era o propósito do invasor quando invadiu? Como o invasor pretendia manter o acesso à máquina? >> Correlacionamento de Evidências O que aconteceu e em que ordem? O que foi instalado na máquina invadida? >> Reconstrução dos fatos Estudo de Caso 3
    179. 179. Fim... Muito Obrigado! Rafael Soares Ferreira [email_address]
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×