Avanços tecnológicos em perícia computacional e resposta a incidentes
Upcoming SlideShare
Loading in...5
×
 

Avanços tecnológicos em perícia computacional e resposta a incidentes

on

  • 2,034 views

Apresentação de Sandro Suffert, CTO TechBiz Forense Digital, no ICCyber 2010

Apresentação de Sandro Suffert, CTO TechBiz Forense Digital, no ICCyber 2010

Statistics

Views

Total Views
2,034
Views on SlideShare
2,034
Embed Views
0

Actions

Likes
0
Downloads
52
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Avanços tecnológicos em perícia computacional e resposta a incidentes Avanços tecnológicos em perícia computacional e resposta a incidentes Presentation Transcript

  • Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com
  • ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ) ICCyber 2009: RoadMap AD, GS (Natal) ICCyber 2010 Avanços Tecnológicos (Brasília)
  • A TechBiz Forense Digital faz parte do grupo TechBiz, que tem 15 anos de história. Sediada em São Paulo, a TechBiz Forense Digital tem escritórios em Belo Horizonte, Rio de Janeiro, Brasília e Florianópolis
  • Torna-se 1º Guidance Authorized PSD (Professional Services Division) no mundo Início formal das operações, Duplicação do Time de com escritório em Belo Profissionais para atender o Horizonte e São Paulo 2007 2008 2009 Brasil inteiro Fundação da 2006 Novos escritórios em 2010 TechBiz Informática Distribuidora exclusiva 1995 2005 Brasília e Rio de Janeiro de Access Data, ArcSight, NetWitness TechBiz Forense Digital é concebida Executa o maior projeto mundial de Encase Distribuidora Exclusiva Forensics Guidance Software, Distribuidora exclusiva Intelligent Computer Digital Intelligence, LTU Solutions, Technologies, Veresoftware, MicroSystemation Wiebetech, Tableau
  • Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes AGENDA: 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados
  • Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
  • Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
  • 1 – aumento do tamanho das mídias (HDs) Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
  • 1 – aumento do tamanho das mídias (HDs)
  • Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados a serem analisadas: - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs e auditoria - Análise de dispositivos móveis - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
  • 2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • Outras Fontes de Dados: Análise de Memória – ex 1 (pdgmail.py)
  • Outras Fontes de Dados: Análise de Memória – ex 2 (Ftk 3.x)
  • Outras Fontes de Dados: Análise de Memória – ex 3 (HBGary Responder)
  • Outras Fontes de Dados Análise de Sessões de Rede – ex. 4
  • Outras Fontes de Dados Análise de Sessões de Rede
  • Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: 2 – aumento das fontes de dados a serem analisadas: 3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => Suporte FTK 3.2 / Encase 7 - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  • Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP – UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta – UserAssist: Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 – UserAssist: Cifra – ROT13 / inicia o contador em 0.
  • Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242. Suporte completo a ext4: FTK 3.2 (beta) e Encase 7 (n/d)
  • Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
  • 4 - Melhoria de Performance BackEnd Oracle / Processamento Distribuído – FTK
  • 4 - Melhoria de Performance CriptoAnálise – FRED-SC + EDPR - CUDA
  • Avanços Tecnológicos - Triagem 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: 5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  • 5 – Melhor Triagem: ex 1 – em campo EnCase Portable USB – 4GB PenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
  • 5 - Melhor Triagem: ex 2 – remota Servlets Installed on Computers
  • Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block - indexação de textos em imagens (OCR) - Super Timelines (log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  • Evolução de Técnicas de Análise - Hashes Uso de Hashes Criptográficos - arquivo de evidencia .e01 vs .dd: - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - Outros tipos de Hashing: Fuzzy hashing | File block hash analysis | Entropy
  • Fuzzy Hashing - ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x
  • Hashes - Entropy
  • File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
  • Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem (Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
  • Taxonomia – Evento/Ataque/Incidente INCIDENTE / CRIME ATAQUE / VIOLAÇÃO EVENTO Resultado não Agente Ferramentas Falha Ação Alvo autorizado Objetivos John D. Howard e Thomas A. Longstaff A Common Language for Computer Security Incidents http://www.cert.org/research/taxonomy_988667.pdf
  • Análise de Incidentes - TTPs Táticas, Técnicas, e Procedimentos Mike Cloppert – Lockheed Martin
  • Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
  • Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Framework http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
  • Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
  • Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com
  • Parceiros de Tecnologia