Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Minicurso – Forense computacional “Análise de redes”

53 views

Published on

Minicurso básico de Segurança Forense computacional, como foco em “Análise de redes”
www.jeffersoncosta.com.br

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Minicurso – Forense computacional “Análise de redes”

  1. 1. • Jefferson Costa • Formado em Eletrônica, Pedagogia, Gestão de negócios em informática. • Especialista em Segurança da informação, atua como Perito Forense, Ethical hacker e como consultor de TI há 23 anos, onde um dos pontos fortes do seu trabalho é analisar o uso da Engenharia Social através de meios cibernéticos. • Também é docente da área há 22 anos. www.jeffersoncosta.com.br www.youtube.com.br/jcosta20 www.facebook.com.br/jeffersoncosta.com.br PALESTRANTE
  2. 2. NBR ISO/IEC 17799:2005 Segurança da informação é obtida a partir da implementação de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais e funções de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurança específicos da organização sejam atendidos.
  3. 3. Os atributos básicos são os seguintes: • Confidencialidade • Integridade • Disponibilidade Segurança da informação
  4. 4. • Vulnerabilidades • Ameaça • Risco Segurança da informação
  5. 5. • A arte de manipular, enganar ou explorar a confiança das pessoas • O termo engenharia social ficou mais conhecido em 1990, através do famoso hacker Kevin Mitnick Engenharia Social
  6. 6. • Existem dois tipos de ataques de engenharia social, os ataques diretos e indiretos: • Ataque direto • Ataque indireto Engenharia Social
  7. 7. • Coleta de informações • Desenvolvimento de relacionamento • Exploração de um relacionamento • Execução do ataque Engenharia Social
  8. 8. • Spear Pishing • Fraudes por email • Erros de digitação Tipos de engenharia social Engenharia Social
  9. 9. Exemplo de engenharia social
  10. 10. Exemplo de engenharia social
  11. 11. Exemplo de engenharia social
  12. 12. • Vírus • Worm • Trojan (Cavalo de Tróia) • Spyware • Keylogger • Phishing • E-mail spoofing • Sniffing • Brute force • DoS e DDoS • Scripts (Backdoors, etc) • Defacement • Ransomware
  13. 13. Investigação do ataque
  14. 14. Ciência Forense é a aplicação de um conjunto de técnicas científicas para responder a questões relacionadas ao Direito, podendo se aplicar a crimes ou atos civis. O esclarecimento de crimes é a função de destaque da prática forense. Através da análise dos vestígios deixados na cena do crime, os peritos, especialistas nas mais diversas áreas, conseguem chegar a um criminoso. http://www.significados.com.br/forense/ Pericia forense computacional
  15. 15. “Todo contato deixa vestígio” Edmond Locard  Definição: Aquilo que determina ou estabelece a verdade de um fato ocorrido no ambiente digital  Características: Dado + Contexto + Fator Tempo Análise forense
  16. 16. • Levantar evidências que contam a história do fato: • Quando? • Como? • Por quê? • Onde? Pericia forense computacional
  17. 17. Dentre outras: • Violação de dados • Roubo / Sequestro de Dados e/ou Negação de Serviço • E-mails falsos (Phishing Scam, Difamação, Ameaças) • Transações bancárias (Internet Banking) • Disseminação de Pragas Virtuais, Pirataria e Pedofilia • Crimes comuns com evidências em mídias digitais Motivação
  18. 18. O que Coletar? • Mídias: Hds, pendrives, cds, dvds... • Dados em memória: “Live Forensics” • Dados trafegando pela rede • Dispositivos não convencionais: • Câmeras digitais, óculos, etc. Aquisição
  19. 19.  Em alguns casos é necessário uma Ordem Judicial para se ter acesso aos dados: ◦ Sistemas de arquivos remotos ◦ Backups em provedores de conteúdo ◦ Servidores corporativos externos ◦ Datacenters internacionais Tratamento de evidências
  20. 20. • Todo o material coletado para análise deve ser detalhadamente relacionado em um documento (Cadeia de Custódia) Identificação – Cadeia de Custódia
  21. 21. • Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) • Portas suspeitas • Tráfego intenso com pacotes incomuns à rede ou que deveriam estar desabilitados • Análise dos pacotes capturados • Reprodução da sessão capturada • Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados) Coleta – Análise de Tráfego
  22. 22.  A alteração de dados pode ser comparada a alteração da cena de um crime no mundo real.  Impedir alteração da mídia original antes e durante os procedimentos de aquisição  Assinaturas hash são utilizadas para garantir a integridade dos dados coletados Preservação
  23. 23. • Sistemas operacionais forenses • BackTrack • CAINE • DEFT • Forense Digital ToolKit (FDTK) • Helix • Knoppix Linux • PeriBR • Kali • Análise de Rede • tcpdump • Wireshark • xplico Exemplos de ferramentas forenses
  24. 24. Captura e análise de Dump de Redes
  25. 25. Um dump é um conjunto de pacotes que trafegam pela rede. Uma das ferramentas mais comuns para capturar e analisar dumps é o tcpdump. http://www.tcpdump.org/ Dump
  26. 26. Captura de Dump
  27. 27. • A ferramenta chamada tcpdump é um sniffer utilizado em sistemas GNU/Linux. Como todo sniffer, ele é usado para realizar análises de redes e solucionar problemas, seu funcionamento é bem simples, bastando apenas conhecer os conceitos básicos de redes TCP/IP. http://www.vivaolinux.com.br/dica/tcpdump-Monitorando-conexoes/ tcpdump
  28. 28. Para capturar pacotes de uma rede: # tcpdump –v net <IPdaREDE/Bits> –w arquivo.dump • tcpdump = comando que aciona a ferramenta • -v = comando usado para visualizar, o andamento dos pacotes capturados. • net = indica que serão capturados pacotes de toda a rede (ex: 192.168.0.0/24) • -w = comando que indica que os pacotes serão gravados em um arquivo especifico, no exemplo de sintaxe acima, o arquivo foi chamado de arquivo.dump. tcpdump - sintaxe
  29. 29. Para capturar pacotes de um computador especifico: # tcpdump –v host <IP_host> –w arquivo.dump Onde: • tcpdump = comando que aciona a ferramenta • -v = comando usado para visualizar, o andamento dos pacotes capturados. • host = indica que serão capturados pacotes de uma máquina especifica • -w = comando que indica que os pacotes serão gravados em um arquivo especifico, no exemplo de sintaxe acima, o arquivo foi chamado de arquivo.dump. tcpdump - sintaxe
  30. 30. tcpdump - Interface
  31. 31. Análise de Dump
  32. 32. A ferramenta de gerência de rede WireShark não é nada mais que uma ferramenta para o administrador da rede monitorar e controlar os dados transmitidos entre qualquer protocolo de transmissão.http://www.wireshark.org/ Wireshark
  33. 33. Wireshark - interface
  34. 34. • O Xplico é uma Ferramenta de Análise Forense de Rede usado para extrair todos o conteúdo de um dump de redes http://www.xplico.org/ xplico
  35. 35. • Essa ferramenta consegue extrair informações dos protocolos. • Ele roda uma série grande de plugins que podem “decodificar” o tráfego de rede, por exemplo, de um arquivo capturado pcap, o Xplico pode extrair dos protocolos (POP, IMAP, e SMTP), conteúdo HTTP, cada chamada VoIP (SIP) , FTP, TFTP. xplico
  36. 36. Xplico - interface
  37. 37. • Criptografia • Esteganografia Ferramentas antiforenses
  38. 38. • O arquivo de texto videoaula será esteganografado no arquivo de imagem chamado forense.jpg steghide embed -ef videoaula -cf forense.jpg • O arquivo será esteganografado em um novo arquivo chamado importante.jpg steghide embed -ef videoaula -cf forense.jpg -sf importante.jpg • O arquivo forense.jpg terá seu conteúdo extraído no arquivo jeffersoncosta steghide extract -sf forense.jpg -xf jeffersoncosta Esteganografia - Exemplo
  39. 39. • -ef, --embedfile filename: Especifica o nome do arquivo cuja mensagem será incorporada. • -cf, --coverfile filename: Especifica o nome do arquivo que será usado para esconder os dados. • -sf, --stegofile filename: Especifica o nome para o arquivo esteganografado que será criado. • -xf, --extractfile filename: Cria um arquivo com um determinado nome e escreve os dados escondidos nele. Esteganografia - Opções
  40. 40. •Formação Acadêmica •Experiência profissional •Conhecimentos complementares O Profissional do Futuro “CyberSecurity”
  41. 41. Obrigado!

×