SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our User Agreement and Privacy Policy.
SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our Privacy Policy and User Agreement for details.
Successfully reported this slideshow.
Activate your 14 day free trial to unlock unlimited reading.
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
1.
• Jefferson Costa
• Formado em Eletrônica, Pedagogia, Gestão de negócios em
informática.
• Especialista em Segurança da informação, atua como Perito
Forense, Ethical hacker e como consultor de TI há 23 anos,
onde um dos pontos fortes do seu trabalho é analisar o uso
da Engenharia Social através de meios cibernéticos.
• Também é docente da área há 22 anos.
www.jeffersoncosta.com.br
www.youtube.com.br/jcosta20
www.facebook.com.br/jeffersoncosta.com.br
PALESTRANTE
2.
NBR ISO/IEC 17799:2005
Segurança da informação é obtida a partir da
implementação de uma série de controles, que podem
ser políticas, práticas, procedimentos, estruturas
organizacionais e funções de software. Estes controles
precisam ser estabelecidos para garantir que os
objetivos de segurança específicos da organização
sejam atendidos.
3.
Os atributos básicos são os seguintes:
• Confidencialidade
• Integridade
• Disponibilidade
Segurança da informação
4.
• Vulnerabilidades
• Ameaça
• Risco
Segurança da informação
5.
• A arte de manipular, enganar ou explorar a confiança das
pessoas
• O termo engenharia social ficou mais conhecido em 1990,
através do famoso hacker Kevin Mitnick
Engenharia Social
6.
• Existem dois tipos de ataques de engenharia social, os
ataques diretos e indiretos:
• Ataque direto
• Ataque indireto
Engenharia Social
7.
• Coleta de informações
• Desenvolvimento de relacionamento
• Exploração de um relacionamento
• Execução do ataque
Engenharia Social
8.
• Spear Pishing
• Fraudes por email
• Erros de digitação
Tipos de engenharia social
Engenharia Social
14.
Ciência Forense é a aplicação de um conjunto de
técnicas científicas para responder a questões
relacionadas ao Direito, podendo se aplicar a crimes
ou atos civis. O esclarecimento de crimes é a função
de destaque da prática forense. Através da análise
dos vestígios deixados na cena do crime, os peritos,
especialistas nas mais diversas áreas, conseguem
chegar a um criminoso.
http://www.significados.com.br/forense/
Pericia forense computacional
15.
“Todo contato deixa vestígio”
Edmond Locard
Definição: Aquilo que determina ou estabelece a verdade de
um fato ocorrido no ambiente digital
Características:
Dado + Contexto + Fator Tempo
Análise forense
16.
• Levantar evidências que contam a história do fato:
• Quando?
• Como?
• Por quê?
• Onde?
Pericia forense computacional
17.
Dentre outras:
• Violação de dados
• Roubo / Sequestro de Dados e/ou Negação de Serviço
• E-mails falsos (Phishing Scam, Difamação, Ameaças)
• Transações bancárias (Internet Banking)
• Disseminação de Pragas Virtuais, Pirataria e Pedofilia
• Crimes comuns com evidências em mídias digitais
Motivação
18.
O que Coletar?
• Mídias: Hds, pendrives, cds, dvds...
• Dados em memória: “Live Forensics”
• Dados trafegando pela rede
• Dispositivos não convencionais:
• Câmeras digitais, óculos, etc.
Aquisição
19.
Em alguns casos é necessário uma Ordem Judicial para se ter
acesso aos dados:
◦ Sistemas de arquivos remotos
◦ Backups em provedores de conteúdo
◦ Servidores corporativos externos
◦ Datacenters internacionais
Tratamento de evidências
20.
• Todo o material coletado para análise deve ser detalhadamente
relacionado em um documento (Cadeia de Custódia)
Identificação – Cadeia de Custódia
21.
• Endereço IP inválido ou suspeito (endereços reservados ou
conhecidos de outros ataques)
• Portas suspeitas
• Tráfego intenso com pacotes incomuns à rede ou que deveriam estar
desabilitados
• Análise dos pacotes capturados
• Reprodução da sessão capturada
• Reconstrução de arquivos que foram transferidos durante a sessão
capturada (imagens, dados)
Coleta – Análise de Tráfego
22.
A alteração de dados pode ser comparada a alteração da cena de
um crime no mundo real.
Impedir alteração da mídia original antes e durante os
procedimentos de aquisição
Assinaturas hash são utilizadas para garantir a integridade dos
dados coletados
Preservação
23.
• Sistemas operacionais forenses
• BackTrack
• CAINE
• DEFT
• Forense Digital ToolKit (FDTK)
• Helix
• Knoppix Linux
• PeriBR
• Kali
• Análise de Rede
• tcpdump
• Wireshark
• xplico
Exemplos de ferramentas forenses
25.
Um dump é um conjunto de pacotes que trafegam pela rede.
Uma das ferramentas mais comuns para capturar e analisar
dumps é o tcpdump.
http://www.tcpdump.org/
Dump
27.
• A ferramenta chamada tcpdump é um sniffer utilizado em sistemas
GNU/Linux. Como todo sniffer, ele é usado para realizar análises de
redes e solucionar problemas, seu funcionamento é bem simples,
bastando apenas conhecer os conceitos básicos de redes TCP/IP.
http://www.vivaolinux.com.br/dica/tcpdump-Monitorando-conexoes/
tcpdump
28.
Para capturar pacotes de uma rede:
# tcpdump –v net <IPdaREDE/Bits> –w arquivo.dump
• tcpdump = comando que aciona a ferramenta
• -v = comando usado para visualizar, o andamento dos pacotes capturados.
• net = indica que serão capturados pacotes de toda a rede (ex: 192.168.0.0/24)
• -w = comando que indica que os pacotes serão gravados em um arquivo especifico,
no exemplo de sintaxe acima, o arquivo foi chamado de arquivo.dump.
tcpdump - sintaxe
29.
Para capturar pacotes de um computador especifico:
# tcpdump –v host <IP_host> –w arquivo.dump
Onde:
• tcpdump = comando que aciona a ferramenta
• -v = comando usado para visualizar, o andamento dos pacotes capturados.
• host = indica que serão capturados pacotes de uma máquina especifica
• -w = comando que indica que os pacotes serão gravados em um arquivo
especifico, no exemplo de sintaxe acima, o arquivo foi chamado de
arquivo.dump.
tcpdump - sintaxe
32.
A ferramenta de gerência de rede
WireShark não é nada mais que uma
ferramenta para o administrador da rede
monitorar e controlar os dados
transmitidos entre qualquer protocolo
de transmissão.http://www.wireshark.org/
Wireshark
34.
• O Xplico é uma Ferramenta de Análise Forense de Rede usado para
extrair todos o conteúdo de um dump de redes
http://www.xplico.org/
xplico
35.
• Essa ferramenta consegue extrair informações dos protocolos.
• Ele roda uma série grande de plugins que podem “decodificar” o
tráfego de rede, por exemplo, de um arquivo capturado pcap, o
Xplico pode extrair dos protocolos (POP, IMAP, e SMTP), conteúdo
HTTP, cada chamada VoIP (SIP) , FTP, TFTP.
xplico
38.
• O arquivo de texto videoaula será esteganografado no arquivo de imagem
chamado forense.jpg
steghide embed -ef videoaula -cf forense.jpg
• O arquivo será esteganografado em um novo arquivo chamado importante.jpg
steghide embed -ef videoaula -cf forense.jpg -sf importante.jpg
• O arquivo forense.jpg terá seu conteúdo extraído no arquivo jeffersoncosta
steghide extract -sf forense.jpg -xf jeffersoncosta
Esteganografia - Exemplo
39.
• -ef, --embedfile filename: Especifica o nome do arquivo cuja mensagem
será incorporada.
• -cf, --coverfile filename: Especifica o nome do arquivo que será usado
para esconder os dados.
• -sf, --stegofile filename: Especifica o nome para o arquivo
esteganografado que será criado.
• -xf, --extractfile filename: Cria um arquivo com um determinado nome e
escreve os dados escondidos nele.
Esteganografia - Opções
40.
•Formação Acadêmica
•Experiência profissional
•Conhecimentos complementares
O Profissional do Futuro
“CyberSecurity”