Your SlideShare is downloading. ×
0
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Forense Computacional com Software Livre
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Forense Computacional com Software Livre

7,355

Published on

Published in: Technology, News & Politics
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
7,355
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
220
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Forense Computacional com Software Livre
  • 2. Apresentação Luiz Vieira● Construtor 4Linux● Consultor de Segurança● 16 anos de experiência em TI● Pen-Tester, Perito Forense (CHFI)● Articulista sobre Segurança de vários sites: VivaOLinux, SegurançaLinux, Imasters, HackProofing e etc● Entusiasta do Software Livre● Filósofo e Psicoterapeuta● Blog: http://hackproofing.blogspot.com www.4linux.com.br 2 / 21
  • 3. Experiência em projetos de missão críticaPioneira no ensino de Linux à distânciaParceira de treinamento IBMPrimeira com LPI no Brasil+ de 30.000 alunos satisfeitosReconhecimento internacionalInovação com Hackerteen e Boteconet www.4linux.com.br 3 / 21
  • 4. No final da minha palestra➔ As 05 primeiras perguntas ganharão um botton dotux.➔ Sorteio do curso: “Investigação Forense Digital”Preencham o cupom que está no folheto que vocês receberam●na entrada da palestra;Se você já preencheu, ele já está aqui na urna●O ganhador deve estar presente até o quinto sorteio. Se não●estiver presente ganhará o sexto sorteado www.4linux.com.br 4 / 21
  • 5. Tópicos de Hoje● O que é Forense Computacional?● Principais desafios da Forense Computacional● Passos de uma Investigação● Análise Viva e Post Mortem● Distribuições Linux para Forense● Ferramentas Livres e Toolkits para Forense● Análise de memória física● Demo: Análise de tráfego de rede com Xplico● Demo: Recuperação de senhas Windows com Ophcrack www.4linux.com.br 5 / 21
  • 6. O que é Forense Computacional “Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser apresentadas em um fôro de uma forma coerente e de formato inteligível”. - Dr. H. B. Wolf www.4linux.com.br 6 / 21
  • 7. www.4linux.com.br 7 / 21
  • 8. Principais Desafios da Forense Computacional● Ainda é mais uma arte do que ciência;● Ainda está em seus estados iniciais de desenvolvimento;● Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são baseadas;● Há falta de treinamento apropriado;● Não há padronização de ferramentas. www.4linux.com.br 8 / 21
  • 9. Distribuições Linux para Forense● FDTK – Forensic Digital Toolkit● Helix● REMnux● CAINE - Computer Aided INvestigative Environment● DEFT Linux● Backtrack● Kraken* www.4linux.com.br 9 / 21
  • 10. Toolkits e Ferramentas Livres para Forense Toolkits ● DFF ● PTK ● Autopsy ● Framework Volatility ● Sleuth Kit ● The Coroners Toolkit Ferramentas ● Centenas delas: ● Foremost ● Scalpel ● memdump ● shred ● Pasco ● dd, etc, etc, etc... www.4linux.com.br 10 / 21
  • 11. Análise Viva e Post-Mortem Dados Voláteis ● São informações que ficam armazenados na memória principal do computador. Isso quer dizer que elas possuem um ciclo de vida curto. Esse tipo de análise é chamada de “Análise Viva”. Dados não-voláteis ● Dados não voláteis, são dados que podem permanecer na máquina durante longos períodos de tempo e podem ser recuperados mesmo após a mesma ser desligada. As análises baseadas em dados armazenados em mídia de backup, pendrives, CDs, ou memória auxiliar como um HD, são chamadas de “Análise Post-Mortem”. www.4linux.com.br 11 / 21
  • 12. Análise de Memória Física A análise de memória física baseia-se em fazer um dump da memória física e virtual de um sistema. O que podemos conseguir através da memória física? • Arquivos com senhas em texto puro • Arquivos com variáveis de ambiente ($HISTFILE) • O mapas de todos os serviços que se encontram em execução. Aplicações de terminal: • memdump (posix) - http://www.porcupine.org/forensics/memdump- 1.0.tar.gz (solaris/bsd/linux) • dd (linux e windows) www.4linux.com.br 12 / 21
  • 13. Dump de Memória Física Dump da memória é nome do processo de capturar as informações da memória, e pode ser feito através do comando dd: • #dd < /dev/mem > mem.dump • #dd < /dev/kmem > kmem.dump O investigador pode realizar buscas por palavras-chave através dos comandos grep e strings: • #strings -a mem.dump | grep palavra-chave www.4linux.com.br 13 / 21
  • 14. Ferramentas de Coleta de Tráfego de Rede Ferramentas de coleta de informações em redes são softwares que podem ser usados para obter dados da rede para análise forense. Estas ferramentas geralmente oferecem a funcionalidade de um sniffer e um sistema de detecção de intrusão combinadas. Sniffers Os sniffers operam na camada de enlace do modelo OSI. Isso significa que eles não têm que jogar pelas mesmas regras que as aplicações e serviços que residem nas camadas mais acima. Os sniffers podem capturar tudo e gravar para posterior análise. Eles permitem que o usuário analise todos os dados que estão contidos no pacote. www.4linux.com.br 14 / 21
  • 15. Análise de Tráfego de Rede A partir do tráfego de rede é possível analisar toda a comunicação entre atacante e máquina invadida, estabelecendo uma seqüência de eventos e comparando com as outras evidências encontradas. Um dos programas desse gênero mais popular é o tcpdump. • # tcpdump -i eth0 host 10.10.0.1 O parâmetro -w do tcpdump permite armazenar os datagramas capturados em um arquivo binário para posterior análise: • # tcpdump -w trafego.dump • Com a análise dos datagramas pode-se encontrar evidências como: endereço IP inválido ou suspeito; tráfego em serviços ou portas que não deveria estar ocorrendo; datagramas com opções, flags ou tamanhos que não respeitam os padrões do protocolo (Request for Comment - RFC); flood de datagramas na rede; tráfego TCP em portas incomuns. www.4linux.com.br 15 / 21
  • 16. Captura de Tráfego de Rede com Xplico www.4linux.com.br 16 / 21
  • 17. Recuperação de SenhasWindows com Ophcrack www.4linux.com.br 17 / 21
  • 18. Rastreamento de Informações a partir de E-Mails www.4linux.com.br 18 / 21
  • 19. OportunidadesAtuação em equipes de resposta a incidentes●Consultor de Segurança da Informação●Investigador Digital●Perito Forense Computacional● www.4linux.com.br 19 / 21
  • 20. www.4linux.com.br 20 / 21
  • 21. Obrigado Luiz Vieira luizwt@gmail.com Http://hackproofing.blogspot.com luiz.vieira@4linux.com.br www.4linux.com.br www.hackerteen.com twitter.com/4LinuxBR Tel: 55-11-2125-4747 www.4linux.com.br 21 / 21

×