Minicurso – Forense computacional “Análise de redes”

1. • Jefferson Costa • Formado em Eletrônica, Pedagogia, Gestão de negócios em informática. • Especialista em Segurança da informação, atua como Perito Forense, Ethical hacker e como consultor de TI há 23 anos, onde um dos pontos fortes do seu trabalho é analisar o uso da Engenharia Social através de meios cibernéticos. • Também é docente da área há 22 anos. www.jeffersoncosta.com.br www.youtube.com.br/jcosta20 www.facebook.com.br/jeffersoncosta.com.br PALESTRANTE

2. NBR ISO/IEC 17799:2005 Segurança da informação é obtida a partir da implementação de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais e funções de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurança específicos da organização sejam atendidos.

3. Os atributos básicos são os seguintes: • Confidencialidade • Integridade • Disponibilidade Segurança da informação

4. • Vulnerabilidades • Ameaça • Risco Segurança da informação

5. • A arte de manipular, enganar ou explorar a confiança das pessoas • O termo engenharia social ficou mais conhecido em 1990, através do famoso hacker Kevin Mitnick Engenharia Social

6. • Existem dois tipos de ataques de engenharia social, os ataques diretos e indiretos: • Ataque direto • Ataque indireto Engenharia Social

7. • Coleta de informações • Desenvolvimento de relacionamento • Exploração de um relacionamento • Execução do ataque Engenharia Social

8. • Spear Pishing • Fraudes por email • Erros de digitação Tipos de engenharia social Engenharia Social

9. Exemplo de engenharia social

12. • Vírus • Worm • Trojan (Cavalo de Tróia) • Spyware • Keylogger • Phishing • E-mail spoofing • Sniffing • Brute force • DoS e DDoS • Scripts (Backdoors, etc) • Defacement • Ransomware

13. Investigação do ataque

14. Ciência Forense é a aplicação de um conjunto de técnicas científicas para responder a questões relacionadas ao Direito, podendo se aplicar a crimes ou atos civis. O esclarecimento de crimes é a função de destaque da prática forense. Através da análise dos vestígios deixados na cena do crime, os peritos, especialistas nas mais diversas áreas, conseguem chegar a um criminoso. http://www.significados.com.br/forense/ Pericia forense computacional

15. “Todo contato deixa vestígio” Edmond Locard  Definição: Aquilo que determina ou estabelece a verdade de um fato ocorrido no ambiente digital  Características: Dado + Contexto + Fator Tempo Análise forense

16. • Levantar evidências que contam a história do fato: • Quando? • Como? • Por quê? • Onde? Pericia forense computacional

17. Dentre outras: • Violação de dados • Roubo / Sequestro de Dados e/ou Negação de Serviço • E-mails falsos (Phishing Scam, Difamação, Ameaças) • Transações bancárias (Internet Banking) • Disseminação de Pragas Virtuais, Pirataria e Pedofilia • Crimes comuns com evidências em mídias digitais Motivação

18. O que Coletar? • Mídias: Hds, pendrives, cds, dvds... • Dados em memória: “Live Forensics” • Dados trafegando pela rede • Dispositivos não convencionais: • Câmeras digitais, óculos, etc. Aquisição

19.  Em alguns casos é necessário uma Ordem Judicial para se ter acesso aos dados: ◦ Sistemas de arquivos remotos ◦ Backups em provedores de conteúdo ◦ Servidores corporativos externos ◦ Datacenters internacionais Tratamento de evidências

20. • Todo o material coletado para análise deve ser detalhadamente relacionado em um documento (Cadeia de Custódia) Identificação – Cadeia de Custódia

21. • Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) • Portas suspeitas • Tráfego intenso com pacotes incomuns à rede ou que deveriam estar desabilitados • Análise dos pacotes capturados • Reprodução da sessão capturada • Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados) Coleta – Análise de Tráfego

22.  A alteração de dados pode ser comparada a alteração da cena de um crime no mundo real.  Impedir alteração da mídia original antes e durante os procedimentos de aquisição  Assinaturas hash são utilizadas para garantir a integridade dos dados coletados Preservação

23. • Sistemas operacionais forenses • BackTrack • CAINE • DEFT • Forense Digital ToolKit (FDTK) • Helix • Knoppix Linux • PeriBR • Kali • Análise de Rede • tcpdump • Wireshark • xplico Exemplos de ferramentas forenses

24. Captura e análise de Dump de Redes

25. Um dump é um conjunto de pacotes que trafegam pela rede. Uma das ferramentas mais comuns para capturar e analisar dumps é o tcpdump. http://www.tcpdump.org/ Dump

26. Captura de Dump

27. • A ferramenta chamada tcpdump é um sniffer utilizado em sistemas GNU/Linux. Como todo sniffer, ele é usado para realizar análises de redes e solucionar problemas, seu funcionamento é bem simples, bastando apenas conhecer os conceitos básicos de redes TCP/IP. http://www.vivaolinux.com.br/dica/tcpdump-Monitorando-conexoes/ tcpdump

28. Para capturar pacotes de uma rede: # tcpdump –v net <IPdaREDE/Bits> –w arquivo.dump • tcpdump = comando que aciona a ferramenta • -v = comando usado para visualizar, o andamento dos pacotes capturados. • net = indica que serão capturados pacotes de toda a rede (ex: 192.168.0.0/24) • -w = comando que indica que os pacotes serão gravados em um arquivo especifico, no exemplo de sintaxe acima, o arquivo foi chamado de arquivo.dump. tcpdump - sintaxe

29. Para capturar pacotes de um computador especifico: # tcpdump –v host <IP_host> –w arquivo.dump Onde: • tcpdump = comando que aciona a ferramenta • -v = comando usado para visualizar, o andamento dos pacotes capturados. • host = indica que serão capturados pacotes de uma máquina especifica • -w = comando que indica que os pacotes serão gravados em um arquivo especifico, no exemplo de sintaxe acima, o arquivo foi chamado de arquivo.dump. tcpdump - sintaxe

30. tcpdump - Interface

31. Análise de Dump

32. A ferramenta de gerência de rede WireShark não é nada mais que uma ferramenta para o administrador da rede monitorar e controlar os dados transmitidos entre qualquer protocolo de transmissão.http://www.wireshark.org/ Wireshark

33. Wireshark - interface

34. • O Xplico é uma Ferramenta de Análise Forense de Rede usado para extrair todos o conteúdo de um dump de redes http://www.xplico.org/ xplico

35. • Essa ferramenta consegue extrair informações dos protocolos. • Ele roda uma série grande de plugins que podem “decodificar” o tráfego de rede, por exemplo, de um arquivo capturado pcap, o Xplico pode extrair dos protocolos (POP, IMAP, e SMTP), conteúdo HTTP, cada chamada VoIP (SIP) , FTP, TFTP. xplico

36. Xplico - interface

37. • Criptografia • Esteganografia Ferramentas antiforenses

38. • O arquivo de texto videoaula será esteganografado no arquivo de imagem chamado forense.jpg steghide embed -ef videoaula -cf forense.jpg • O arquivo será esteganografado em um novo arquivo chamado importante.jpg steghide embed -ef videoaula -cf forense.jpg -sf importante.jpg • O arquivo forense.jpg terá seu conteúdo extraído no arquivo jeffersoncosta steghide extract -sf forense.jpg -xf jeffersoncosta Esteganografia - Exemplo

39. • -ef, --embedfile filename: Especifica o nome do arquivo cuja mensagem será incorporada. • -cf, --coverfile filename: Especifica o nome do arquivo que será usado para esconder os dados. • -sf, --stegofile filename: Especifica o nome para o arquivo esteganografado que será criado. • -xf, --extractfile filename: Cria um arquivo com um determinado nome e escreve os dados escondidos nele. Esteganografia - Opções

40. •Formação Acadêmica •Experiência profissional •Conhecimentos complementares O Profissional do Futuro “CyberSecurity”

41. Obrigado!