Your SlideShare is downloading. ×
0
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Apresentação SegInfo
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Apresentação SegInfo

918

Published on

Sandro Suffert marcou presença na sexta edição do Workshop de Segurança da Informação - Seginfo, no Centro de Convenções da Bolsa de Valores do Rio de Janeiro. O evento tem abordagem acadêmica, …

Sandro Suffert marcou presença na sexta edição do Workshop de Segurança da Informação - Seginfo, no Centro de Convenções da Bolsa de Valores do Rio de Janeiro. O evento tem abordagem acadêmica, técnica e empresarial e trata de assuntos técnico-científico, jurídico e social. Palestras, debates, jogos e dinâmicas abordaram a segurança da informação nos seus mais variados aspectos, de técnico a social.

Published in: Technology, Business
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
918
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
29
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  1. Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süfferthttp://blog.suffert.com
  2. Equipamentos  de  Laboratórios  de  Perícia    Computação  Forense  é  só  isto?   Softwares  de     Duplicadores  de  Mídias  Armazenamento  Portátil     Análise  Pericial       Computadores     Especializados   Mobile  Forensics   Aquisição  em  campo      Bloqueadores  de  Escrita  
  3. Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital:Perícia  Criminal   Segurança  da  Inf.   Auditoria   Anti-­‐Fraude   Inteligência   Fiscalização   Jurídico   Defesa  Cibernética   Compliance  
  4. Algumas modalidades de Forense ComputacionalForense  Post-­‐ Forense  de  Rede   Forense  Remota   Forense  Mortem   Redes   Cabeadas   Conexão  online   Colaborativa   HDs,  CDs,  Pen-­‐ Redes   Sem  Fio   Silenciosa   Múltiplas   Drives,  Disquetes,   Reconstrução   de   Stealth   Investigações     etc   Sessões   Múltiplos   Capacidade   de   Telefones,  GPS,   Investigadores   Geração  de   obtenção  de   Tablets,  etc   Interface  de   Metadados     dados  voláteis   Investigação   Possibilidade  de   Amigável   Remediação   Grupo  Especialista  
  5. Taxonomia:  Evento>Ataque>Incidente>Crime  INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não ObjetivosAgente Ferramentas Falha Ação Alvo autorizado Crime
  6. Dinâmicas  de       Resultado     Agente   Ferramentas   Falha   Ação   Alvo   Objetivos   não  autorizado   Hackers Ataque Físico Design Probe   Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan   Processos   Obtenção Ganho     Terroristas Eng. Social Configuração Flood   Dados informação Financeiro   confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass   Computadores Spoof   Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia RecursosJohn  D.  Howard  e  Thomas  A.  Longstaff   RouboA  Common   Language   for  Computer   Security   Incidents   Modificaçãohttp://www.cert.org/research/taxonomy_988667.pdf     Remoção
  7. Atribuição  de  Autoria/Responsabilidade      Muito  além  da  identificação  de  endereços   IP  1)Timing,   11)  Ferramentas,  2)  Vítimas/Alvos,   12)  Mecanismo  de  Persistência,  3)  Origem,   13)  Método  de  Propagação,  4)  Mecanismo  de  Entrada,   14)  Dados  Alvo,  5)  Vulnerabilidade  ou  Exposição,   15)  Compactação  de  Dados,  6)  Exploit  ou  Payload,   16)  Modo  de  Extrafiltração,  7)  Weaponization,   17)  Atribuição  Externa,  8)  Atividade  pós-­‐exploração,   18)  Grau  de  Profissionalismo,    9)  Método  de  Comando  e  Controle,   19)  Variedade  de  Técnicas  utilizadas,    10)  Servidores  de  Comando  e  Controle,     20)  Escopo   (R.  Beitlich,  M.  Cloppert)   Agente Identificação  das  consequências  do  ataque  pode  ser  mais  fácil  que  detectar  o  ataque  
  8. Diferentes  Níveis  de  Importância  Estratégica  Diferentes  Categorias  de  Agentes  e  Objetivos   diagrama:  -­  David  Ross    GFIRST/Mandiant  
  9. Processos de Investigação Digital
  10. Exemplo  de  Processo  de  Investigação    
  11. CheckList de AberturaRequisitar AutorizaçãoDesignar responsáveis Preservação e Coleta AcompanhamentoEfetuar Inventário Enviar para Análise
  12. Tratamento  >  Coleta  Presencial  
  13. Tratamento  >  Coleta  Presencial  
  14. Tratamento  >  Coleta  Presencial  PADRONIZAR oprocessamento, gerandoCONTROLEMINIMIZAR ao máximo aPERDA de dadosEVITAR aCONTAMINAÇÃO dedados / informações
  15. Tratamento  >  Coleta  Remota  
  16. INFORMAÇÃO  sobre   as   FERRAMENTAS   utilizadas     INFORMAÇÕES  sobre   a  REDE     INFORMAÇÕES  sobre   a   AQUISIÇÃO     INFORMAÇÕES  sobre   ARQUIVAMENTO    
  17. Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup)Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de EmailsRequisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
  18. Resposta  a  Incidentes  e  Forense  Computacional    Abordagem  Híbrida      
  19. Cyber  Segurança    uma  crise  de  priorização  NCO/NITRD   National  Coordination  Office  /  Networking  and  Information  Technology  Research  and  Development  
  20. Priorizações  Recomendadas  pelo  Comitê  de  T.I.  do  Gov.  Americano   NCO/NITRD.GOV  -­  Cyber  Security  A  Crisis  of  Prioritization:  pg  43  
  21. Pessoas:  A  crise  de  capital  humano  em  CiberSegurança  
  22. Alguns Desafios em Perícia Computacional e Resposta a Incidentes1 aumento do tamanho das mídias2 aumento das fontes de dados3 novidades tecnológicas4 melhorias de performance de ferramentas5 melhor triagem antes da coleta de dados6 evolução de técnicas de análise7 melhorias na taxonomia e compartilhamento de dados
  23. Desafios Tecnológicos1 aumento do tamanho das mídias (HDs) a serem analisadas: -‐ Lei de Moore -‐> número de transistores de chips dobram a cada 18 meses -‐ Lei de Kryder -‐> discos rígidos dobram de tamanho a cada 18 a 24 meses -‐ velocidade de acesso à disco (I/O) não cresce tão rapidamente.. -‐ maioria dos hds possuem mais de um milhão de itens -‐ indexação, carving, análise de assinatura
  24. 1 aumento do tamanho das mídias (HDs)Fonte:  Han-­‐Kwang   Nienhuys    http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg  
  25. 1 aumento do tamanho das mídias (HDs)     Discos:  aumento  de  +576%.   Estações  de  Trabalho:  +29,7%   PDA/Blackberry/Assemelhados:  +859%    
  26. Motivadores de Avanços Tecnológicos1 aumento do tamanho das mídias (HDs)2 aumento das fontes de dados a serem analisadas: -‐ Análise de discos de Estado Sólido (SSD) -‐ Análise de mídias removíveis -‐ Análise de computadores remotos -‐ Análise de memória -‐ Análise de sessões de rede -‐ Análise de registros/logs/BD -‐ Análise de dispositivos móveis (celulares, tablets, gps) -‐ outros: ebook readers, mp3 players, GPS,video-‐games, TVs, ...
  27. 2 aumento das fontes de dados     +    d    a    d    o    s                                                                      +    c    o    m    p    l    e    x    i    d    a    d    e  HD:       Bit     Byte       Setor       Cluster         Arquivo       1   8bits   512B   8  setores  /  4kb   1-­‐n  clusters  Memória:     Bit     Byte     Página        Thread       Processo         1   8bits    4kB      n  páginas     n  threads     Rede:       Bit   Byte     Pacote       Stream     Sessão         1   8bits    n  bytes   n  pacotes     n  streams    
  28. Outras Fontes de Dados:Análise de Memória ex 1 (pdgmail.py)
  29. Outras Fontes de Dados:Análise de Memória ex 2 (Ftk 3.x)
  30. Outras Fontes de Dados:Análise de Memória ex 3 (HBGary Responder)
  31. Outras Fontes de DadosAnálise de Sessões de Rede
  32. Outras Fontes de DadosAnálise de Sessões de Rede ex. 4
  33. Motivadores de Avanços Tecnológicos1 aumento do tamanho das mídias (HDs) a serem analisadas:2 aumento das fontes de dados a serem analisadas:3 necessidade de adequação diante de novidades tecnológicas -‐ Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. -‐ Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) -‐ Mobile Forensics ex: variedade de S.Os, aplicações e conectividade -‐ Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  34. Novidades Tecnológicas: Novos sistemas operacionais ex 1 (Win 7)Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssistWindows XP UserAssist:Cifra -‐ ROT13 (A-‐>N, B-‐>O, ...)Inicia o contador em 5.Windows 7/2008 beta UserAssist:Cifra Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)Windows 7/2008 UserAssist:Cifra ROT13 / inicia o contador em 0.
  35. Novidades Tecnológicas: Novos sistemas de arquivo ex 2 (ext4)Análise dos metadados de MAC Times (Modificação, Acesso e Criação)Unix Millenium Bug (Y2K38) -‐ até ext3 32 bit signed integerSegundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)timeLimite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901)bits: 1111111111111111111111111111111ext4 lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-‐9) e + 2 bits foram adicionados ao campo dos segundos doSuporte completo a ext4: FTK 3.3 e Encase 7
  36. Motivadores de Avanços Tecnológicos1 aumento do tamanho das mídias2 aumento das fontes de dados3 adequação diante de novidades tecnológicas4 melhorias de performance de ferramentas: -‐ Uso de Banco de Dados como BackEnd: ECC -‐ MSSQL/ FTK 3.x Oracle -‐ Aquisição Remota: dados voláteis, memória, discos, artefatos específicos -‐ Processamento Distribuído: DNA -‐> FTK 3.x -‐> AD LAB -‐ Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) -‐ Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
  37. 4 -‐ Melhoria de PerformanceBackEnd Oracle / Processamento Distribuído AD LAB
  38. 4 -‐ Melhoria de PerformanceCriptoAnálise FRED-‐SC + EDPR -‐ CUDA
  39. Avanços Tecnológicos -‐ Triagem1 aumento do tamanho das mídias2 aumento das fontes de dados3 adequação diante de novidades tecnológicas4 melhorias de performance de ferramentas:5 melhor triagem antes da coleta de dados -‐ Remota FTK 3.x/AD Enterprise, Encase FIM/Platform -‐ Na ponta Encase Portable -‐ Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  40. 5 Melhoria na Triagem: ex 1 em campoEnCasePortableUSB 4GBPenDrive/Disco 1 Gb-­ > 2Tb 4-­Port USB Dongle / (Security key) Hub
  41. 5 Melhoria na Triagem: ex 2 em campo
  42. 5 Melhoria na Triagem: ex 3 remota Servlets Installed on Computers
  43. Forense Remota / Remediação Auditoria   Logical   ResultLog   Evidence  File  Quem? Garantia de Existência ou não integridade de arquivosQuando? Materialização de responsivosOnde? prova Tamanho reduzido
  44. Avanços Tecnológicos1 aumento do tamanho das mídias2 aumento das fontes de dados3 novidades tecnológicas4 melhorias de performance de ferramentas5 melhor triagem antes da coleta de dados6 evolução de técnicas de análise -‐ hashing: MD5/SHA1 -‐> ssdeep/fuzzy -‐> entropy -‐> file block hash analysis -‐ indexação de textos em imagens (OCR); Novos algorítimos de análise -‐ Super Timelines (Enscripts + log2timeline Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  45. Evolução de Técnicas de Análise -‐ HashesUso de Hashes Criptográficos-‐ Arquivos de Evidência .e01 vs .dd:-‐ E0x1,L0x1: bzip, AES-‐256, MD5+SHA1-‐ arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle)-‐ :Fuzzy hashing | File block hash analysis | Entropy
  46. Fuzzy Hashing-‐ ssdeep Jesse Kornblum -‐ http://ssdeep.sourceforge.net-‐ FTK 3.x context triggered piecewise hashes (CTPH)
  47. Hashes -‐ Entropy
  48. File Block Hash Analysishttps://support.guidancesoftware.com/forum/downloads.php?do=file&id=657    
  49. Algorítimos de Comparação de Vídeos Identificação/categorização  de  vídeos   tolerante  a  mudança  de:       Formato;   Cor;  Brilho;  Contraste;   Compressão;     Espelhamento;   Cortes;   Distorção;   Mudança  de  proporção;   Edições  (~  2  seg)    
  50. Avanços Tecnológicos1 aumento do tamanho das mídias (HDs)2 aumento das fontes de dados3 novidades tecnológicas4 melhorias de performance de ferramentas5 melhor triagem antes da coleta de dados6 evolução de técnicas de análise7 melhorias na taxonomia e compartilhamento de dados -‐ Taxonomia Incidentes -‐ Atribuição de Origem ( Táticas, Técnicas e Procedimentos) -‐ Indicadores de Comprometimento -‐ OpenIOC -‐ Framework de Compartilhamento de dados -‐ VerIS
  51. Utilização do compartilhamento de dados Análise de Sessões de Rede ex. ?
  52. Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications ApplicationsFirewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação  de  Milhões  de  Eventos  Diários  
  53. Monitoração de Infra-‐Estruturas Críticas (PLCs) 54  
  54. 15/08/201Inteligência para Investigações e apoio à Decisão 1   55  
  55. Foco  de  Atenção:  Ênfase  na  *Ameaça*  -­‐ Kill  Chain    sequência  de  eventos  para  uma  ameaça  afetar  um  alvo:   -­‐ Fórmula  Tradicional  de  Risco  =  Ameaça  x  Vulnerabilidade  x  Impacto   TBS    Time  Based  Security:  Pt  ~  Dt  +  Rt       Proteção  =  Tempo  Detecção  +  Tempo  Reação  suficientes   Exposição  =  Tempo  Detecção  +  Tempo  Reação  tardios     Conceito  TBS::   Winn  Schwartau   diagramas:  Mike  Cloppert    Lockheed  Martin  
  56. Evolução  de  um  Ataque  Temporalmente  
  57. Análise  de  Incidentes  -­‐  TTPs     Táticas,  Técnicas,  e  Procedimentos  Mike  Cloppert    Lockheed  Martin  
  58. Indicators  of  Compromise  -­‐  OpenIOC   http://www.mandiant.com/uploads/presentations/SOH_052010.pdf  
  59. Táticas, Técnicas e Procedimentos VerIS Incident Sharing -‐ Frameworkhttp://securityblog.verizonbusiness.com/wp-­‐content/uploads/2010/03/VerIS_Framework_Beta_1.pdf  
  60. Alguns casos 2011Heterogeneidade de Casos: EBCDIC 3270 rede (fraude externa) Solaris adm (sabotagem) Java boleto (fraude interna) Invasão de site / vazamento de dados Clipper (fraude interna) MSDOS 16bit -‐ Video poker (Forças da Lei) Sistema Web .NET + SQL Server (Fraude Votação)
  61. Maturidade em Investigação Computacional
  62. Desenvolvimento e Integração de Tecnologia
  63. Obrigado! Sandro Süffert, CTOTechbiz Forense Digital http://blog.suffert.com

×