• Save
Iccyber 2010 - Sandro Süffert   Avanços Tecnológicos
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Iccyber 2010 - Sandro Süffert Avanços Tecnológicos

on

  • 3,346 views

Avanços Tecnológicos em

Avanços Tecnológicos em
Perícia Computacional e Resposta a Incidentes - ICCYBER 2010

Statistics

Views

Total Views
3,346
Views on SlideShare
2,502
Embed Views
844

Actions

Likes
3
Downloads
1
Comments
0

21 Embeds 844

http://sseguranca.blogspot.com.br 356
http://sseguranca.blogspot.com 318
http://forensedigital.com.br 90
http://www.forensedigital.com.br 37
http://sseguranca.blogspot.pt 15
http://translate.googleusercontent.com 4
http://sseguranca.blogspot.com.es 3
http://sseguranca.blogspot.co.il 3
http://sseguranca.blogspot.de 3
http://sseguranca.blogspot.jp 2
http://sseguranca.blogspot.mx 2
http://sseguranca.blogspot.com.ar 2
http://sseguranca.blogspot.co.uk 1
http://sseguranca.blogspot.it 1
http://planet.alexos.com.br 1
http://sseguranca.blogspot.kr 1
http://sseguranca.blogspot.nl 1
http://www.google.es 1
http://webcache.googleusercontent.com 1
http://sseguranca.blogspot.com.au 1
http://sseguranca.blogspot.gr 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Iccyber 2010 - Sandro Süffert Avanços Tecnológicos Presentation Transcript

  • 1. Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com
  • 2. ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ) ICCyber 2009: RoadMap AD, GS (Natal) ICCyber 2010 Avanços Tecnológicos (Brasília)
  • 3. A TechBiz Forense Digital faz parte do grupo TechBiz, que tem 15 anos de história. Sediada em São Paulo, a TechBiz Forense Digital tem escritórios em Belo Horizonte, Rio de Janeiro, Brasília e Florianópolis
  • 4. Torna-se 1º Guidance Authorized PSD (Professional Services Division) no mundo Início formal das operações, Duplicação do Time de com escritório em Belo Profissionais para atender o Horizonte e São Paulo 2007 2008 2009 Brasil inteiro Fundação da 2006 Novos escritórios em 2010 TechBiz Informática Distribuidora exclusiva 1995 2005 Brasília e Rio de Janeiro de Access Data, ArcSight, NetWitness TechBiz Forense Digital é concebida Executa o maior projeto mundial de Encase Distribuidora Exclusiva Forensics Guidance Software, Distribuidora exclusiva Intelligent Computer Digital Intelligence, LTU Solutions, Technologies, Veresoftware, MicroSystemation Wiebetech, Tableau
  • 5. Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes AGENDA: 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados
  • 6. Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
  • 7. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
  • 8. 1 – aumento do tamanho das mídias (HDs) Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
  • 9. 1 – aumento do tamanho das mídias (HDs)
  • 10. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados a serem analisadas: - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs e auditoria - Análise de dispositivos móveis - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
  • 11. 2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • 12. Outras Fontes de Dados: Análise de Memória – ex 1 (pdgmail.py)
  • 13. Outras Fontes de Dados: Análise de Memória – ex 2 (Ftk 3.x)
  • 14. Outras Fontes de Dados: Análise de Memória – ex 3 (HBGary Responder)
  • 15. Outras Fontes de Dados Análise de Sessões de Rede – ex. 4
  • 16. Outras Fontes de Dados Análise de Sessões de Rede
  • 17. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: 2 – aumento das fontes de dados a serem analisadas: 3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => Suporte FTK 3.2 / Encase 7 - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  • 18. Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP – UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta – UserAssist: Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 – UserAssist: Cifra – ROT13 / inicia o contador em 0.
  • 19. Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242. Suporte completo a ext4: FTK 3.2 (beta) e Encase 7 (n/d)
  • 20. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
  • 21. 4 - Melhoria de Performance BackEnd Oracle / Processamento Distribuído – FTK
  • 22. 4 - Melhoria de Performance CriptoAnálise – FRED-SC + EDPR - CUDA
  • 23. Avanços Tecnológicos - Triagem 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: 5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  • 24. 5 – Melhor Triagem: ex 1 – em campo EnCase Portable USB – 4GB PenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
  • 25. 5 - Melhor Triagem: ex 2 – remota Servlets Installed on Computers
  • 26. Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block - indexação de textos em imagens (OCR) - Super Timelines (log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  • 27. Evolução de Técnicas de Análise - Hashes Uso de Hashes Criptográficos - arquivo de evidencia .e01 vs .dd: - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - Outros tipos de Hashing: Fuzzy hashing | File block hash analysis | Entropy
  • 28. Fuzzy Hashing - ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x
  • 29. Hashes - Entropy
  • 30. File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
  • 31. Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem (Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
  • 32. Taxonomia – Evento/Ataque/Incidente INCIDENTE / CRIME ATAQUE / VIOLAÇÃO EVENTO Resultado não Agente Ferramentas Falha Ação Alvo autorizado Objetivos John D. Howard e Thomas A. Longstaff A Common Language for Computer Security Incidents http://www.cert.org/research/taxonomy_988667.pdf
  • 33. Análise de Incidentes - TTPs Táticas, Técnicas, e Procedimentos Mike Cloppert – Lockheed Martin
  • 34. Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
  • 35. Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Framework http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
  • 36. Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
  • 37. Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com
  • 38. Parceiros de Tecnologia