Forense Computacional com Software Livre

7,772 views
7,642 views

Published on

Published in: Technology, News & Politics
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
7,772
On SlideShare
0
From Embeds
0
Number of Embeds
3,604
Actions
Shares
0
Downloads
247
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Forense Computacional com Software Livre

  1. 1. Forense Computacional com Software Livre
  2. 2. Apresentação Luiz Vieira● Construtor 4Linux● Consultor de Segurança● 16 anos de experiência em TI● Pen-Tester, Perito Forense (CHFI)● Articulista sobre Segurança de vários sites: VivaOLinux, SegurançaLinux, Imasters, HackProofing e etc● Entusiasta do Software Livre● Filósofo e Psicoterapeuta● Blog: http://hackproofing.blogspot.com www.4linux.com.br 2 / 21
  3. 3. Experiência em projetos de missão críticaPioneira no ensino de Linux à distânciaParceira de treinamento IBMPrimeira com LPI no Brasil+ de 30.000 alunos satisfeitosReconhecimento internacionalInovação com Hackerteen e Boteconet www.4linux.com.br 3 / 21
  4. 4. No final da minha palestra➔ As 05 primeiras perguntas ganharão um botton dotux.➔ Sorteio do curso: “Investigação Forense Digital”Preencham o cupom que está no folheto que vocês receberam●na entrada da palestra;Se você já preencheu, ele já está aqui na urna●O ganhador deve estar presente até o quinto sorteio. Se não●estiver presente ganhará o sexto sorteado www.4linux.com.br 4 / 21
  5. 5. Tópicos de Hoje● O que é Forense Computacional?● Principais desafios da Forense Computacional● Passos de uma Investigação● Análise Viva e Post Mortem● Distribuições Linux para Forense● Ferramentas Livres e Toolkits para Forense● Análise de memória física● Demo: Análise de tráfego de rede com Xplico● Demo: Recuperação de senhas Windows com Ophcrack www.4linux.com.br 5 / 21
  6. 6. O que é Forense Computacional “Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser apresentadas em um fôro de uma forma coerente e de formato inteligível”. - Dr. H. B. Wolf www.4linux.com.br 6 / 21
  7. 7. www.4linux.com.br 7 / 21
  8. 8. Principais Desafios da Forense Computacional● Ainda é mais uma arte do que ciência;● Ainda está em seus estados iniciais de desenvolvimento;● Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são baseadas;● Há falta de treinamento apropriado;● Não há padronização de ferramentas. www.4linux.com.br 8 / 21
  9. 9. Distribuições Linux para Forense● FDTK – Forensic Digital Toolkit● Helix● REMnux● CAINE - Computer Aided INvestigative Environment● DEFT Linux● Backtrack● Kraken* www.4linux.com.br 9 / 21
  10. 10. Toolkits e Ferramentas Livres para Forense Toolkits ● DFF ● PTK ● Autopsy ● Framework Volatility ● Sleuth Kit ● The Coroners Toolkit Ferramentas ● Centenas delas: ● Foremost ● Scalpel ● memdump ● shred ● Pasco ● dd, etc, etc, etc... www.4linux.com.br 10 / 21
  11. 11. Análise Viva e Post-Mortem Dados Voláteis ● São informações que ficam armazenados na memória principal do computador. Isso quer dizer que elas possuem um ciclo de vida curto. Esse tipo de análise é chamada de “Análise Viva”. Dados não-voláteis ● Dados não voláteis, são dados que podem permanecer na máquina durante longos períodos de tempo e podem ser recuperados mesmo após a mesma ser desligada. As análises baseadas em dados armazenados em mídia de backup, pendrives, CDs, ou memória auxiliar como um HD, são chamadas de “Análise Post-Mortem”. www.4linux.com.br 11 / 21
  12. 12. Análise de Memória Física A análise de memória física baseia-se em fazer um dump da memória física e virtual de um sistema. O que podemos conseguir através da memória física? • Arquivos com senhas em texto puro • Arquivos com variáveis de ambiente ($HISTFILE) • O mapas de todos os serviços que se encontram em execução. Aplicações de terminal: • memdump (posix) - http://www.porcupine.org/forensics/memdump- 1.0.tar.gz (solaris/bsd/linux) • dd (linux e windows) www.4linux.com.br 12 / 21
  13. 13. Dump de Memória Física Dump da memória é nome do processo de capturar as informações da memória, e pode ser feito através do comando dd: • #dd < /dev/mem > mem.dump • #dd < /dev/kmem > kmem.dump O investigador pode realizar buscas por palavras-chave através dos comandos grep e strings: • #strings -a mem.dump | grep palavra-chave www.4linux.com.br 13 / 21
  14. 14. Ferramentas de Coleta de Tráfego de Rede Ferramentas de coleta de informações em redes são softwares que podem ser usados para obter dados da rede para análise forense. Estas ferramentas geralmente oferecem a funcionalidade de um sniffer e um sistema de detecção de intrusão combinadas. Sniffers Os sniffers operam na camada de enlace do modelo OSI. Isso significa que eles não têm que jogar pelas mesmas regras que as aplicações e serviços que residem nas camadas mais acima. Os sniffers podem capturar tudo e gravar para posterior análise. Eles permitem que o usuário analise todos os dados que estão contidos no pacote. www.4linux.com.br 14 / 21
  15. 15. Análise de Tráfego de Rede A partir do tráfego de rede é possível analisar toda a comunicação entre atacante e máquina invadida, estabelecendo uma seqüência de eventos e comparando com as outras evidências encontradas. Um dos programas desse gênero mais popular é o tcpdump. • # tcpdump -i eth0 host 10.10.0.1 O parâmetro -w do tcpdump permite armazenar os datagramas capturados em um arquivo binário para posterior análise: • # tcpdump -w trafego.dump • Com a análise dos datagramas pode-se encontrar evidências como: endereço IP inválido ou suspeito; tráfego em serviços ou portas que não deveria estar ocorrendo; datagramas com opções, flags ou tamanhos que não respeitam os padrões do protocolo (Request for Comment - RFC); flood de datagramas na rede; tráfego TCP em portas incomuns. www.4linux.com.br 15 / 21
  16. 16. Captura de Tráfego de Rede com Xplico www.4linux.com.br 16 / 21
  17. 17. Recuperação de SenhasWindows com Ophcrack www.4linux.com.br 17 / 21
  18. 18. Rastreamento de Informações a partir de E-Mails www.4linux.com.br 18 / 21
  19. 19. OportunidadesAtuação em equipes de resposta a incidentes●Consultor de Segurança da Informação●Investigador Digital●Perito Forense Computacional● www.4linux.com.br 19 / 21
  20. 20. www.4linux.com.br 20 / 21
  21. 21. Obrigado Luiz Vieira luizwt@gmail.com Http://hackproofing.blogspot.com luiz.vieira@4linux.com.br www.4linux.com.br www.hackerteen.com twitter.com/4LinuxBR Tel: 55-11-2125-4747 www.4linux.com.br 21 / 21

×