Apresentação SegInfo
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Apresentação SegInfo

  • 1,209 views
Uploaded on

Sandro Suffert marcou presença na sexta edição do Workshop de Segurança da Informação - Seginfo, no Centro de Convenções da Bolsa de Valores do Rio de Janeiro. O evento tem abordagem acadêmica,......

Sandro Suffert marcou presença na sexta edição do Workshop de Segurança da Informação - Seginfo, no Centro de Convenções da Bolsa de Valores do Rio de Janeiro. O evento tem abordagem acadêmica, técnica e empresarial e trata de assuntos técnico-científico, jurídico e social. Palestras, debates, jogos e dinâmicas abordaram a segurança da informação nos seus mais variados aspectos, de técnico a social.

More in: Technology , Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,209
On Slideshare
1,133
From Embeds
76
Number of Embeds
1

Actions

Shares
Downloads
27
Comments
0
Likes
3

Embeds 76

http://forensedigital.com.br 76

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süfferthttp://blog.suffert.com
  • 2. Equipamentos  de  Laboratórios  de  Perícia    Computação  Forense  é  só  isto?   Softwares  de     Duplicadores  de  Mídias  Armazenamento  Portátil     Análise  Pericial       Computadores     Especializados   Mobile  Forensics   Aquisição  em  campo      Bloqueadores  de  Escrita  
  • 3. Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital:Perícia  Criminal   Segurança  da  Inf.   Auditoria   Anti-­‐Fraude   Inteligência   Fiscalização   Jurídico   Defesa  Cibernética   Compliance  
  • 4. Algumas modalidades de Forense ComputacionalForense  Post-­‐ Forense  de  Rede   Forense  Remota   Forense  Mortem   Redes   Cabeadas   Conexão  online   Colaborativa   HDs,  CDs,  Pen-­‐ Redes   Sem  Fio   Silenciosa   Múltiplas   Drives,  Disquetes,   Reconstrução   de   Stealth   Investigações     etc   Sessões   Múltiplos   Capacidade   de   Telefones,  GPS,   Investigadores   Geração  de   obtenção  de   Tablets,  etc   Interface  de   Metadados     dados  voláteis   Investigação   Possibilidade  de   Amigável   Remediação   Grupo  Especialista  
  • 5. Taxonomia:  Evento>Ataque>Incidente>Crime  INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não ObjetivosAgente Ferramentas Falha Ação Alvo autorizado Crime
  • 6. Dinâmicas  de       Resultado     Agente   Ferramentas   Falha   Ação   Alvo   Objetivos   não  autorizado   Hackers Ataque Físico Design Probe   Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan   Processos   Obtenção Ganho     Terroristas Eng. Social Configuração Flood   Dados informação Financeiro   confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass   Computadores Spoof   Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia RecursosJohn  D.  Howard  e  Thomas  A.  Longstaff   RouboA  Common   Language   for  Computer   Security   Incidents   Modificaçãohttp://www.cert.org/research/taxonomy_988667.pdf     Remoção
  • 7. Atribuição  de  Autoria/Responsabilidade      Muito  além  da  identificação  de  endereços   IP  1)Timing,   11)  Ferramentas,  2)  Vítimas/Alvos,   12)  Mecanismo  de  Persistência,  3)  Origem,   13)  Método  de  Propagação,  4)  Mecanismo  de  Entrada,   14)  Dados  Alvo,  5)  Vulnerabilidade  ou  Exposição,   15)  Compactação  de  Dados,  6)  Exploit  ou  Payload,   16)  Modo  de  Extrafiltração,  7)  Weaponization,   17)  Atribuição  Externa,  8)  Atividade  pós-­‐exploração,   18)  Grau  de  Profissionalismo,    9)  Método  de  Comando  e  Controle,   19)  Variedade  de  Técnicas  utilizadas,    10)  Servidores  de  Comando  e  Controle,     20)  Escopo   (R.  Beitlich,  M.  Cloppert)   Agente Identificação  das  consequências  do  ataque  pode  ser  mais  fácil  que  detectar  o  ataque  
  • 8. Diferentes  Níveis  de  Importância  Estratégica  Diferentes  Categorias  de  Agentes  e  Objetivos   diagrama:  -­  David  Ross    GFIRST/Mandiant  
  • 9. Processos de Investigação Digital
  • 10. Exemplo  de  Processo  de  Investigação    
  • 11. CheckList de AberturaRequisitar AutorizaçãoDesignar responsáveis Preservação e Coleta AcompanhamentoEfetuar Inventário Enviar para Análise
  • 12. Tratamento  >  Coleta  Presencial  
  • 13. Tratamento  >  Coleta  Presencial  
  • 14. Tratamento  >  Coleta  Presencial  PADRONIZAR oprocessamento, gerandoCONTROLEMINIMIZAR ao máximo aPERDA de dadosEVITAR aCONTAMINAÇÃO dedados / informações
  • 15. Tratamento  >  Coleta  Remota  
  • 16. INFORMAÇÃO  sobre   as   FERRAMENTAS   utilizadas     INFORMAÇÕES  sobre   a  REDE     INFORMAÇÕES  sobre   a   AQUISIÇÃO     INFORMAÇÕES  sobre   ARQUIVAMENTO    
  • 17. Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup)Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de EmailsRequisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
  • 18. Resposta  a  Incidentes  e  Forense  Computacional    Abordagem  Híbrida      
  • 19. Cyber  Segurança    uma  crise  de  priorização  NCO/NITRD   National  Coordination  Office  /  Networking  and  Information  Technology  Research  and  Development  
  • 20. Priorizações  Recomendadas  pelo  Comitê  de  T.I.  do  Gov.  Americano   NCO/NITRD.GOV  -­  Cyber  Security  A  Crisis  of  Prioritization:  pg  43  
  • 21. Pessoas:  A  crise  de  capital  humano  em  CiberSegurança  
  • 22. Alguns Desafios em Perícia Computacional e Resposta a Incidentes1 aumento do tamanho das mídias2 aumento das fontes de dados3 novidades tecnológicas4 melhorias de performance de ferramentas5 melhor triagem antes da coleta de dados6 evolução de técnicas de análise7 melhorias na taxonomia e compartilhamento de dados
  • 23. Desafios Tecnológicos1 aumento do tamanho das mídias (HDs) a serem analisadas: -‐ Lei de Moore -‐> número de transistores de chips dobram a cada 18 meses -‐ Lei de Kryder -‐> discos rígidos dobram de tamanho a cada 18 a 24 meses -‐ velocidade de acesso à disco (I/O) não cresce tão rapidamente.. -‐ maioria dos hds possuem mais de um milhão de itens -‐ indexação, carving, análise de assinatura
  • 24. 1 aumento do tamanho das mídias (HDs)Fonte:  Han-­‐Kwang   Nienhuys    http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg  
  • 25. 1 aumento do tamanho das mídias (HDs)     Discos:  aumento  de  +576%.   Estações  de  Trabalho:  +29,7%   PDA/Blackberry/Assemelhados:  +859%    
  • 26. Motivadores de Avanços Tecnológicos1 aumento do tamanho das mídias (HDs)2 aumento das fontes de dados a serem analisadas: -‐ Análise de discos de Estado Sólido (SSD) -‐ Análise de mídias removíveis -‐ Análise de computadores remotos -‐ Análise de memória -‐ Análise de sessões de rede -‐ Análise de registros/logs/BD -‐ Análise de dispositivos móveis (celulares, tablets, gps) -‐ outros: ebook readers, mp3 players, GPS,video-‐games, TVs, ...
  • 27. 2 aumento das fontes de dados     +    d    a    d    o    s                                                                      +    c    o    m    p    l    e    x    i    d    a    d    e  HD:       Bit     Byte       Setor       Cluster         Arquivo       1   8bits   512B   8  setores  /  4kb   1-­‐n  clusters  Memória:     Bit     Byte     Página        Thread       Processo         1   8bits    4kB      n  páginas     n  threads     Rede:       Bit   Byte     Pacote       Stream     Sessão         1   8bits    n  bytes   n  pacotes     n  streams    
  • 28. Outras Fontes de Dados:Análise de Memória ex 1 (pdgmail.py)
  • 29. Outras Fontes de Dados:Análise de Memória ex 2 (Ftk 3.x)
  • 30. Outras Fontes de Dados:Análise de Memória ex 3 (HBGary Responder)
  • 31. Outras Fontes de DadosAnálise de Sessões de Rede
  • 32. Outras Fontes de DadosAnálise de Sessões de Rede ex. 4
  • 33. Motivadores de Avanços Tecnológicos1 aumento do tamanho das mídias (HDs) a serem analisadas:2 aumento das fontes de dados a serem analisadas:3 necessidade de adequação diante de novidades tecnológicas -‐ Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. -‐ Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) -‐ Mobile Forensics ex: variedade de S.Os, aplicações e conectividade -‐ Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  • 34. Novidades Tecnológicas: Novos sistemas operacionais ex 1 (Win 7)Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssistWindows XP UserAssist:Cifra -‐ ROT13 (A-‐>N, B-‐>O, ...)Inicia o contador em 5.Windows 7/2008 beta UserAssist:Cifra Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)Windows 7/2008 UserAssist:Cifra ROT13 / inicia o contador em 0.
  • 35. Novidades Tecnológicas: Novos sistemas de arquivo ex 2 (ext4)Análise dos metadados de MAC Times (Modificação, Acesso e Criação)Unix Millenium Bug (Y2K38) -‐ até ext3 32 bit signed integerSegundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)timeLimite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901)bits: 1111111111111111111111111111111ext4 lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-‐9) e + 2 bits foram adicionados ao campo dos segundos doSuporte completo a ext4: FTK 3.3 e Encase 7
  • 36. Motivadores de Avanços Tecnológicos1 aumento do tamanho das mídias2 aumento das fontes de dados3 adequação diante de novidades tecnológicas4 melhorias de performance de ferramentas: -‐ Uso de Banco de Dados como BackEnd: ECC -‐ MSSQL/ FTK 3.x Oracle -‐ Aquisição Remota: dados voláteis, memória, discos, artefatos específicos -‐ Processamento Distribuído: DNA -‐> FTK 3.x -‐> AD LAB -‐ Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) -‐ Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
  • 37. 4 -‐ Melhoria de PerformanceBackEnd Oracle / Processamento Distribuído AD LAB
  • 38. 4 -‐ Melhoria de PerformanceCriptoAnálise FRED-‐SC + EDPR -‐ CUDA
  • 39. Avanços Tecnológicos -‐ Triagem1 aumento do tamanho das mídias2 aumento das fontes de dados3 adequação diante de novidades tecnológicas4 melhorias de performance de ferramentas:5 melhor triagem antes da coleta de dados -‐ Remota FTK 3.x/AD Enterprise, Encase FIM/Platform -‐ Na ponta Encase Portable -‐ Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  • 40. 5 Melhoria na Triagem: ex 1 em campoEnCasePortableUSB 4GBPenDrive/Disco 1 Gb-­ > 2Tb 4-­Port USB Dongle / (Security key) Hub
  • 41. 5 Melhoria na Triagem: ex 2 em campo
  • 42. 5 Melhoria na Triagem: ex 3 remota Servlets Installed on Computers
  • 43. Forense Remota / Remediação Auditoria   Logical   ResultLog   Evidence  File  Quem? Garantia de Existência ou não integridade de arquivosQuando? Materialização de responsivosOnde? prova Tamanho reduzido
  • 44. Avanços Tecnológicos1 aumento do tamanho das mídias2 aumento das fontes de dados3 novidades tecnológicas4 melhorias de performance de ferramentas5 melhor triagem antes da coleta de dados6 evolução de técnicas de análise -‐ hashing: MD5/SHA1 -‐> ssdeep/fuzzy -‐> entropy -‐> file block hash analysis -‐ indexação de textos em imagens (OCR); Novos algorítimos de análise -‐ Super Timelines (Enscripts + log2timeline Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  • 45. Evolução de Técnicas de Análise -‐ HashesUso de Hashes Criptográficos-‐ Arquivos de Evidência .e01 vs .dd:-‐ E0x1,L0x1: bzip, AES-‐256, MD5+SHA1-‐ arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle)-‐ :Fuzzy hashing | File block hash analysis | Entropy
  • 46. Fuzzy Hashing-‐ ssdeep Jesse Kornblum -‐ http://ssdeep.sourceforge.net-‐ FTK 3.x context triggered piecewise hashes (CTPH)
  • 47. Hashes -‐ Entropy
  • 48. File Block Hash Analysishttps://support.guidancesoftware.com/forum/downloads.php?do=file&id=657    
  • 49. Algorítimos de Comparação de Vídeos Identificação/categorização  de  vídeos   tolerante  a  mudança  de:       Formato;   Cor;  Brilho;  Contraste;   Compressão;     Espelhamento;   Cortes;   Distorção;   Mudança  de  proporção;   Edições  (~  2  seg)    
  • 50. Avanços Tecnológicos1 aumento do tamanho das mídias (HDs)2 aumento das fontes de dados3 novidades tecnológicas4 melhorias de performance de ferramentas5 melhor triagem antes da coleta de dados6 evolução de técnicas de análise7 melhorias na taxonomia e compartilhamento de dados -‐ Taxonomia Incidentes -‐ Atribuição de Origem ( Táticas, Técnicas e Procedimentos) -‐ Indicadores de Comprometimento -‐ OpenIOC -‐ Framework de Compartilhamento de dados -‐ VerIS
  • 51. Utilização do compartilhamento de dados Análise de Sessões de Rede ex. ?
  • 52. Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications ApplicationsFirewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação  de  Milhões  de  Eventos  Diários  
  • 53. Monitoração de Infra-‐Estruturas Críticas (PLCs) 54  
  • 54. 15/08/201Inteligência para Investigações e apoio à Decisão 1   55  
  • 55. Foco  de  Atenção:  Ênfase  na  *Ameaça*  -­‐ Kill  Chain    sequência  de  eventos  para  uma  ameaça  afetar  um  alvo:   -­‐ Fórmula  Tradicional  de  Risco  =  Ameaça  x  Vulnerabilidade  x  Impacto   TBS    Time  Based  Security:  Pt  ~  Dt  +  Rt       Proteção  =  Tempo  Detecção  +  Tempo  Reação  suficientes   Exposição  =  Tempo  Detecção  +  Tempo  Reação  tardios     Conceito  TBS::   Winn  Schwartau   diagramas:  Mike  Cloppert    Lockheed  Martin  
  • 56. Evolução  de  um  Ataque  Temporalmente  
  • 57. Análise  de  Incidentes  -­‐  TTPs     Táticas,  Técnicas,  e  Procedimentos  Mike  Cloppert    Lockheed  Martin  
  • 58. Indicators  of  Compromise  -­‐  OpenIOC   http://www.mandiant.com/uploads/presentations/SOH_052010.pdf  
  • 59. Táticas, Técnicas e Procedimentos VerIS Incident Sharing -‐ Frameworkhttp://securityblog.verizonbusiness.com/wp-­‐content/uploads/2010/03/VerIS_Framework_Beta_1.pdf  
  • 60. Alguns casos 2011Heterogeneidade de Casos: EBCDIC 3270 rede (fraude externa) Solaris adm (sabotagem) Java boleto (fraude interna) Invasão de site / vazamento de dados Clipper (fraude interna) MSDOS 16bit -‐ Video poker (Forças da Lei) Sistema Web .NET + SQL Server (Fraude Votação)
  • 61. Maturidade em Investigação Computacional
  • 62. Desenvolvimento e Integração de Tecnologia
  • 63. Obrigado! Sandro Süffert, CTOTechbiz Forense Digital http://blog.suffert.com