Avanços Tecnológicos em
Perícia Computacional e Resposta a Incidentes



                  Sandro Süffert,
            CTO...
ICCyber 2007: SOC BrT (Guarujá)     ICCyber 2008: Processos Investigação (RJ)




ICCyber 2009: RoadMap AD, GS (Natal)


 ...
A TechBiz Forense Digital faz parte do grupo TechBiz,
             que tem 15 anos de história.
 Sediada em São Paulo, a T...
Torna-se 1º Guidance
                                                                            Authorized PSD (Professio...
Avanços Tecnológicos em
          Perícia Computacional e Resposta a Incidentes

AGENDA:

  1 – aumento do tamanho das míd...
Resposta a Incidentes e Forense
Computacional – Abordagem Híbrida




“Computer Forensics: Results of Live
Response Inquir...
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs) a serem analisadas:

  - Lei de Moore -> núm...
1 – aumento do tamanho das mídias (HDs)




Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capac...
1 – aumento do tamanho das mídias (HDs)
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados a serem anal...
2 – aumento das fontes de dados

                          + d a d o s                       + c o m p l e x i d a d e

HD...
Outras Fontes de Dados:
Análise de Memória – ex 1 (pdgmail.py)
Outras Fontes de Dados:
Análise de Memória – ex 2 (Ftk 3.x)
Outras Fontes de Dados:
Análise de Memória – ex 3 (HBGary Responder)
Outras Fontes de Dados
Análise de Sessões de Rede – ex. 4
Outras Fontes de Dados
Análise de Sessões de Rede
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs) a serem analisadas:
2 – aumento das fontes d...
Novidades Tecnológicas:
               Novos sistemas operacionais – ex 1 (Win 7)
Estatísticas da execução de programas vi...
Novidades Tecnológicas:
              Novos sistemas de arquivo – ex 2 (ext4)


Análise dos metadados de MAC Times (Modifi...
Motivadores de Avanços Tecnológicos


1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação dian...
4 - Melhoria de Performance
BackEnd Oracle / Processamento Distribuído – FTK
4 - Melhoria de Performance
CriptoAnálise – FRED-SC + EDPR - CUDA
Avanços Tecnológicos - Triagem


1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de...
5 – Melhor Triagem: ex 1 – em campo




EnCase
Portable
USB – 4GB




PenDrive/Disco – 1 Gb- > 2Tb

                      ...
5 - Melhor Triagem: ex 2 – remota




                            Servlets Installed
                            on Comput...
Avanços Tecnológicos


1   –   aumento do tamanho das mídias
2   –   aumento das fontes de dados
3   –   novidades tecnoló...
Evolução de Técnicas de Análise - Hashes


Uso de Hashes Criptográficos

- arquivo de evidencia .e01 vs .dd:

- arquivos (...
Fuzzy Hashing


- ssdeep – Jesse Kornblum -   http://ssdeep.sourceforge.net




- FTK 3.x
Hashes - Entropy
File Block Hash Analysis




https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
Avanços Tecnológicos


1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados
3 – novidades tecnológicas
...
Taxonomia – Evento/Ataque/Incidente


INCIDENTE / CRIME

         ATAQUE / VIOLAÇÃO

                               EVENTO...
Análise de Incidentes - TTPs
                                  Táticas, Técnicas, e Procedimentos




Mike Cloppert – Lock...
Indicators of Compromise - OpenIOC




       http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Táticas, Técnicas e Procedimentos
             VerIS – Incident Sharing - Framework




http://securityblog.verizonbusines...
Utilização do compartilhamento de dados
    Análise de Sessões de Rede – ex. ?
Obrigado!




      Sandro Süffert,
CTO Techbiz Forense Digital


    http://blog.suffert.com
Parceiros de Tecnologia
Avanços tecnológicos em perícia computacional e resposta a incidentes
Upcoming SlideShare
Loading in...5
×

Avanços tecnológicos em perícia computacional e resposta a incidentes

1,802

Published on

Apresentação de Sandro Suffert, CTO TechBiz Forense Digital, no ICCyber 2010

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,802
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
59
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Avanços tecnológicos em perícia computacional e resposta a incidentes"

  1. 1. Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com
  2. 2. ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ) ICCyber 2009: RoadMap AD, GS (Natal) ICCyber 2010 Avanços Tecnológicos (Brasília)
  3. 3. A TechBiz Forense Digital faz parte do grupo TechBiz, que tem 15 anos de história. Sediada em São Paulo, a TechBiz Forense Digital tem escritórios em Belo Horizonte, Rio de Janeiro, Brasília e Florianópolis
  4. 4. Torna-se 1º Guidance Authorized PSD (Professional Services Division) no mundo Início formal das operações, Duplicação do Time de com escritório em Belo Profissionais para atender o Horizonte e São Paulo 2007 2008 2009 Brasil inteiro Fundação da 2006 Novos escritórios em 2010 TechBiz Informática Distribuidora exclusiva 1995 2005 Brasília e Rio de Janeiro de Access Data, ArcSight, NetWitness TechBiz Forense Digital é concebida Executa o maior projeto mundial de Encase Distribuidora Exclusiva Forensics Guidance Software, Distribuidora exclusiva Intelligent Computer Digital Intelligence, LTU Solutions, Technologies, Veresoftware, MicroSystemation Wiebetech, Tableau
  5. 5. Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes AGENDA: 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados
  6. 6. Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
  7. 7. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
  8. 8. 1 – aumento do tamanho das mídias (HDs) Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
  9. 9. 1 – aumento do tamanho das mídias (HDs)
  10. 10. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados a serem analisadas: - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs e auditoria - Análise de dispositivos móveis - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
  11. 11. 2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  12. 12. Outras Fontes de Dados: Análise de Memória – ex 1 (pdgmail.py)
  13. 13. Outras Fontes de Dados: Análise de Memória – ex 2 (Ftk 3.x)
  14. 14. Outras Fontes de Dados: Análise de Memória – ex 3 (HBGary Responder)
  15. 15. Outras Fontes de Dados Análise de Sessões de Rede – ex. 4
  16. 16. Outras Fontes de Dados Análise de Sessões de Rede
  17. 17. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: 2 – aumento das fontes de dados a serem analisadas: 3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => Suporte FTK 3.2 / Encase 7 - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  18. 18. Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP – UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta – UserAssist: Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 – UserAssist: Cifra – ROT13 / inicia o contador em 0.
  19. 19. Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242. Suporte completo a ext4: FTK 3.2 (beta) e Encase 7 (n/d)
  20. 20. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
  21. 21. 4 - Melhoria de Performance BackEnd Oracle / Processamento Distribuído – FTK
  22. 22. 4 - Melhoria de Performance CriptoAnálise – FRED-SC + EDPR - CUDA
  23. 23. Avanços Tecnológicos - Triagem 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: 5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  24. 24. 5 – Melhor Triagem: ex 1 – em campo EnCase Portable USB – 4GB PenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
  25. 25. 5 - Melhor Triagem: ex 2 – remota Servlets Installed on Computers
  26. 26. Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block - indexação de textos em imagens (OCR) - Super Timelines (log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  27. 27. Evolução de Técnicas de Análise - Hashes Uso de Hashes Criptográficos - arquivo de evidencia .e01 vs .dd: - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - Outros tipos de Hashing: Fuzzy hashing | File block hash analysis | Entropy
  28. 28. Fuzzy Hashing - ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x
  29. 29. Hashes - Entropy
  30. 30. File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
  31. 31. Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem (Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
  32. 32. Taxonomia – Evento/Ataque/Incidente INCIDENTE / CRIME ATAQUE / VIOLAÇÃO EVENTO Resultado não Agente Ferramentas Falha Ação Alvo autorizado Objetivos John D. Howard e Thomas A. Longstaff A Common Language for Computer Security Incidents http://www.cert.org/research/taxonomy_988667.pdf
  33. 33. Análise de Incidentes - TTPs Táticas, Técnicas, e Procedimentos Mike Cloppert – Lockheed Martin
  34. 34. Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
  35. 35. Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Framework http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
  36. 36. Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
  37. 37. Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com
  38. 38. Parceiros de Tecnologia
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×