1
Sumário <ul><li>Apresentação Institucional </li></ul><ul><li>Conceitos de Forense </li></ul><ul><li>Metodologia </li></ul>...
Institucional <ul><li>Fundada em 2003 com Foco em Soluções de Rede e Conectividade em Ambiente OpenSource  - Gnu/Linux </l...
Serviços & Produtos 4
Consultoria e Auditoria de TI <ul><li>Gestão de Serviços de TI – ITIL V3 </li></ul><ul><li>Segurança da Informação – ISO 2...
Capacitação <ul><li>Treinamentos  In-Company  e em nossa Sede. </li></ul><ul><li>Gnu/Linux </li></ul><ul><ul><li>Preparató...
Serviços <ul><li>Centro de Gerência de Rede (NOC)  - 24x7x365 </li></ul><ul><li>Gap Analisys </li></ul><ul><ul><li>Análise...
Vamos ao que interessa … 8
Conceitos de Forense Computacional 9 <ul><li>É uma Ciência Interdisciplinar </li></ul><ul><li>Utilizada para investigações...
Etapas da Forense Clássica 10
Etapas da Forense Computacional <ul><li>Coleta dos Dados </li></ul><ul><ul><li>Planejamento </li></ul></ul><ul><ul><ul><li...
Etapas da Forense Computacional <ul><li>Exame dos dados </li></ul><ul><ul><li>Automatização através de ferramentas </li></...
Metodologias <ul><li>Post mortem foresics </li></ul><ul><ul><li>Ocorre após o incidente ou crime </li></ul></ul><ul><ul><l...
Metodologias <ul><li>Principais diferenças </li></ul><ul><ul><li>Em Live deve-se tomar cuidado em não alterar ou modificar...
Ferramentas <ul><li>Existem dezenas de ferramentas; </li></ul><ul><li>A grande maioria roda em sistemas Gnu/Linux e existe...
Ferramentas <ul><li>Sleuth Kit  - Análise de Sistemas de arquivos </li></ul><ul><li>Foremost/scalpel – busca de arquivos (...
Teste Prático <ul><li>Post mortem forensics; </li></ul><ul><li>Examinando a imagem de um disquete e de um dump da memória ...
Obrigado 18 Leandro Godoy [email_address] IT Consultant
Upcoming SlideShare
Loading in...5
×

Uso de ferramentas OpenSource para Análise Forense (pós mortem)

1,738

Published on

Palestra feita no DebianDay 2011 em Porto Alegre/RS.
Autoria de Leandro Godoy

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,738
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
68
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Uso de ferramentas OpenSource para Análise Forense (pós mortem)

  1. 1. 1
  2. 2. Sumário <ul><li>Apresentação Institucional </li></ul><ul><li>Conceitos de Forense </li></ul><ul><li>Metodologia </li></ul><ul><ul><li>Live forensics </li></ul></ul><ul><ul><li>Post mortem forensics </li></ul></ul><ul><li>Ferramentas </li></ul><ul><li>Teste Prático </li></ul>2
  3. 3. Institucional <ul><li>Fundada em 2003 com Foco em Soluções de Rede e Conectividade em Ambiente OpenSource - Gnu/Linux </li></ul><ul><li>A partir de 2005 nos tornamos uma empresa de Consultoria em Segurança da Informação, Governança de TI, Processos Organizacionais e Auditoria; </li></ul><ul><li>Equipe de Especialistas formada por Profissionais Experientes e com as principais Certificações do Mercado. </li></ul>3
  4. 4. Serviços & Produtos 4
  5. 5. Consultoria e Auditoria de TI <ul><li>Gestão de Serviços de TI – ITIL V3 </li></ul><ul><li>Segurança da Informação – ISO 27001 </li></ul><ul><li>Governança de TI e Planejamento Estratégico (BSC e COBIT) </li></ul><ul><li>Gerenciamento de Projetos – PMI </li></ul><ul><li>Gestão de Risco e Continuidade de Negócios </li></ul><ul><li>InfraEstrutura de TI </li></ul>5
  6. 6. Capacitação <ul><li>Treinamentos In-Company e em nossa Sede. </li></ul><ul><li>Gnu/Linux </li></ul><ul><ul><li>Preparatório para Certificação </li></ul></ul><ul><li>Governança de TI </li></ul><ul><ul><li>ITIL e COBIT </li></ul></ul><ul><li>Gerenciamento de Projetos </li></ul><ul><li>Administração de InfraEstrutura de TI </li></ul>6
  7. 7. Serviços <ul><li>Centro de Gerência de Rede (NOC) - 24x7x365 </li></ul><ul><li>Gap Analisys </li></ul><ul><ul><li>Análise de Conformidade com Normas Internacionais: SOX, Basileia, ISO e BS </li></ul></ul><ul><li>Virtualização de Servidores </li></ul><ul><ul><li>XEN e VmWare </li></ul></ul><ul><li>Serviços de Suporte: Implantação e Configuração de Servidores Gnu/Linux (Debian) </li></ul>7
  8. 8. Vamos ao que interessa … 8
  9. 9. Conceitos de Forense Computacional 9 <ul><li>É uma Ciência Interdisciplinar </li></ul><ul><li>Utilizada para investigações digitais </li></ul><ul><li>Tem como principal objetivo a compreensão dos eventos ocorridos e para tanto aplica as etapas da forense clássica </li></ul><ul><li>Alguns cenários de aplicação: </li></ul><ul><li>Espionagem industrial </li></ul><ul><li>Crimes de fraude </li></ul><ul><li>Investigação de pedofilia </li></ul><ul><li>Invasão de sistemas … etc </li></ul>
  10. 10. Etapas da Forense Clássica 10
  11. 11. Etapas da Forense Computacional <ul><li>Coleta dos Dados </li></ul><ul><ul><li>Planejamento </li></ul></ul><ul><ul><ul><li>Volatilidade </li></ul></ul></ul><ul><ul><ul><li>Esforço </li></ul></ul></ul><ul><ul><ul><li>Valor estimado </li></ul></ul></ul><ul><ul><li>Coleta </li></ul></ul><ul><ul><ul><li>Como evitar a poluição do artefato/fonte? </li></ul></ul></ul><ul><ul><li>Garantia de Integridade </li></ul></ul><ul><ul><ul><li>Uso de algorítimos de hash (MD5, SHA256, Crypt) </li></ul></ul></ul>11
  12. 12. Etapas da Forense Computacional <ul><li>Exame dos dados </li></ul><ul><ul><li>Automatização através de ferramentas </li></ul></ul><ul><ul><li>Uso de Expressões regulares </li></ul></ul><ul><ul><li>Exige tempo e conhecimento técnico </li></ul></ul><ul><li>Análise dos dados obtidos </li></ul><ul><ul><li>Depende do que fator causador </li></ul></ul><ul><ul><li>Correlação de eventos e datas </li></ul></ul><ul><ul><li>Pode retornar a etapa anterior dependendo do encontrado </li></ul></ul><ul><li>Resultados obtidos </li></ul><ul><ul><li>Gera o Laudo Pericial </li></ul></ul>12
  13. 13. Metodologias <ul><li>Post mortem foresics </li></ul><ul><ul><li>Ocorre após o incidente ou crime </li></ul></ul><ul><ul><li>Não há coleta de dados voláteis </li></ul></ul><ul><ul><li>Responde por 99% dos casos </li></ul></ul><ul><li>Live forensics </li></ul><ul><ul><li>Coleta de informações “ on the fly ” </li></ul></ul><ul><ul><li>Coleta de dados voláteis: </li></ul></ul><ul><ul><ul><li>Conexões estabelecidas, processos em execução, portas abertas, tabela de roteamento </li></ul></ul></ul><ul><ul><ul><li>Dados sendo trafegados, logs, histórico de comandos </li></ul></ul></ul><ul><ul><ul><li>Conteúdo da memória, imagem do disco rígido </li></ul></ul></ul>13
  14. 14. Metodologias <ul><li>Principais diferenças </li></ul><ul><ul><li>Em Live deve-se tomar cuidado em não alterar ou modificar os dados </li></ul></ul><ul><ul><li>Em Live comandos do sistema podem ter sido alterados </li></ul></ul><ul><ul><li>Rootkits podem ter sido instalados e mascarar o resultado da coleta: Gerar dados errados ou omitir outros. </li></ul></ul><ul><ul><li>A confiança no resultado da coleta é fator muito relevante entre Live e Post-mortem forensics. </li></ul></ul>14 Na Live Foresnics, qual o melhor procedimento para desligar o sistema? Puxar o cabo de força ou desligar usando o processo normal?
  15. 15. Ferramentas <ul><li>Existem dezenas de ferramentas; </li></ul><ul><li>A grande maioria roda em sistemas Gnu/Linux e existem pacotes .deb (Debian); </li></ul><ul><li>Distribuições Linux especializadas em Segurança da Informação: </li></ul><ul><ul><li>SIFT (SANS Investigate Forense Toolkit) </li></ul></ul><ul><ul><li>CAINE (Computer Aided Investigative Environment) </li></ul></ul><ul><ul><li>DEFT Linux (voltado para Forense Digital) </li></ul></ul><ul><ul><li>Helix 3 - Efense </li></ul></ul><ul><ul><li>Backktrack 5(voltado para testes de penetração) </li></ul></ul>15
  16. 16. Ferramentas <ul><li>Sleuth Kit - Análise de Sistemas de arquivos </li></ul><ul><li>Foremost/scalpel – busca de arquivos ( carving ) </li></ul><ul><li>Ssdeep/md5deep – hash </li></ul><ul><li>Wireshark – network forensics </li></ul><ul><li>Pasco – examina os dados do IE </li></ul><ul><li>Rifiuti2 – verifica arquivo do Recycle Bin </li></ul><ul><li>PTK / Autopsy – Interface para o sleuth kit </li></ul><ul><li>Rdd – com o que falta para o dd </li></ul><ul><li>PyFlag – ambiente completo para forense digital </li></ul>16
  17. 17. Teste Prático <ul><li>Post mortem forensics; </li></ul><ul><li>Examinando a imagem de um disquete e de um dump da memória Ram; </li></ul><ul><li>Usando: rdd, foremost, sleuthkit, autopsy </li></ul>17
  18. 18. Obrigado 18 Leandro Godoy [email_address] IT Consultant
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×