Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süfferthttp://blog.suffert.com
Equipamentos de Laboratórios de Perícia Computação Forense é só isto? ...
Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital:Perícia Criminal Segurança da Inf. ...
Algumas modalidades de Forense ComputacionalForense Post- Forense de Rede Forense Re...
Taxonomia: Evento>Ataque>Incidente>CrimeINCIDENTE ATAQUE / VIOLAÇÃO EVENTO ...
Dinâmicas de Incidentes ou “Crimes Digitais” ...
Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP1)Timing, ...
Diferentes Níveis de Importância EstratégicaDiferentes Categorias de Agentes e Objetivos diagra...
Processos de Investigação Digital
Exemplo de Processo de Investigação
• CheckList de Abertura• Requisitar Autorização• Designar responsáveis • Preservação e Coleta • Acompanhamento• Ef...
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial• PADRONIZAR o processamento, gerando CONTROLE• MINIMIZAR ao máximo a PERDA de ...
Tratamento > Coleta Remota
• INFORMAÇÃO sobre as FERRAMENTAS utilizadas• INFORMAÇÕES sobre a REDE• INFORMAÇÕES sobre a AQUISIÇÃO• INFOR...
Processo de Investigação Notificação ...
Resposta a Incidentes e ForenseComputacional – Abordagem Híbrida“Computer Forensics: Results of LiveResponse Inquiry vs Me...
Cyber Segurança – uma crise de priorizaçãoNCO/NITRD –National Coordination Office / Networking and Information Technology ...
Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano NCO/NITRD.GOV - Cyber Security A Crisis of Prio...
Pessoas: A crise de capital humano em CiberSegurança
Alguns Desafios em Perícia Computacional e Resposta a Incidentes1 – aumento do tamanho das mídias2 – aumento das...
Desafios Tecnológicos1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores...
1 – aumento do tamanho das mídias (HDs)Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_o...
1 – aumento do tamanho das mídias (HDs) Discos: aumento de +576%. Estações de Trabalho: +29,7% PDA/B...
Motivadores de Avanços Tecnológicos1 – aumento do tamanho das mídias (HDs)2 – aumento das fontes de dados a serem analisad...
2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d eHD: ...
Outras Fontes de Dados:Análise de Memória – ex 1 (pdgmail.py)
Outras Fontes de Dados:Análise de Memória – ex 2 (Ftk 3.x)
Outras Fontes de Dados:Análise de Memória – ex 3 (HBGary Responder)
Outras Fontes de DadosAnálise de Sessões de Rede
Outras Fontes de DadosAnálise de Sessões de Rede – ex. 4
Motivadores de Avanços Tecnológicos1 – aumento do tamanho das mídias (HDs) a serem analisadas:2 – aumento das fontes de da...
Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7)Estatísticas da execução de programas via ...
Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4)Análise dos metadados de MAC Times (Modificaçã...
Motivadores de Avanços Tecnológicos1 – aumento do tamanho das mídias2 – aumento das fontes de dados3 – adequação diante de...
4 - Melhoria de PerformanceBackEnd Oracle / Processamento Distribuído – AD LAB
4 - Melhoria de PerformanceCriptoAnálise – FRED-SC + EDPR - CUDA
Avanços Tecnológicos - Triagem1 – aumento do tamanho das mídias2 – aumento das fontes de dados3 – adequação diante d...
5 – Melhoria na Triagem: ex 1 – em campoEnCasePortableUSB – 4GBPenDrive/Disco – 1 Gb- > 2Tb ...
5 – Melhoria na Triagem: ex 2 – em campo
5 – Melhoria na Triagem: ex 3 – remota Servlets Installed on C...
Forense Remota / Remediação Auditoria Logical ResultLog Evidence File• Quem? ...
Avanços Tecnológicos1– aumento do tamanho das mídias2– aumento das fontes de dados3– novidades tecnológicas4– melh...
Evolução de Técnicas de Análise - HashesUso de Hashes Criptográficos- Arquivos de Evidência .e01 vs .dd:- E0x1,L0x1: b...
Fuzzy Hashing- ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net- FTK 3.x context triggered piecewise has...
Hashes - Entropy
File Block Hash Analysishttps://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
Algorítimos de Comparação de Vídeos Identificação/categorização de vídeos tolerante a muda...
Avanços Tecnológicos1 – aumento do tamanho das mídias (HDs)2 – aumento das fontes de dados3 – novidades tecnológicas...
Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência ...
Monitoração de Infra-Estruturas Críticas (PLCs) 54
15/08/201Inteligência para Investigações e apoio à Decisão 1 55
Foco de Atenção: Ênfase na *Ameaça*- Kill Chain – sequência de eventos para uma ameaça afetar um alvo: - Fórm...
Evolução de um Ataque Temporalmente
Análise de Incidentes - TTPs Táticas, Técnicas, e ProcedimentosMike Cloppert – Lockheed M...
Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Frameworkhttp://securityblog.verizonbusiness.com/...
Alguns casos – 2011Heterogeneidade de Casos:• EBCDIC 3270 rede (fraude externa)• Solaris – adm (sabotagem)• Java bol...
Maturidade em Investigação Computacional
Desenvolvimento e Integração de Tecnologia
Obrigado! Sandro Süffert, CTOTechbiz Forense Digital http://blog.suffert.com
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
of 64

"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?

Palestra do Sandro Suffert, CTO da Techbiz Forense Digital, sobre "Desafios em Computação Forense e Resposta a Incidentes de Segurança"
Published on: Mar 4, 2016
Published in: Technology      
Source: www.slideshare.net


Transcripts - "Desafios em Computação Forense e Resposta a Incidentes de Segurança"?

  • 1. Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süfferthttp://blog.suffert.com
  • 2. Equipamentos de Laboratórios de Perícia Computação Forense é só isto? Softwares de Duplicadores de MídiasArmazenamento Portátil Análise Pericial Computadores Especializados Mobile Forensics Aquisição em campoBloqueadores de Escrita
  • 3. Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital:Perícia Criminal Segurança da Inf. Auditoria Anti-Fraude Inteligência Fiscalização Jurídico Defesa Cibernética Compliance
  • 4. Algumas modalidades de Forense ComputacionalForense Post- Forense de Rede Forense Remota ForenseMortem • Redes Cabeadas • Conexão online Colaborativa• HDs, CDs, Pen- • Redes Sem Fio • Silenciosa • Múltiplas Drives, Disquetes, • Reconstrução de • Stealth Investigações etc Sessões • Múltiplos • Capacidade de• Telefones, GPS, Investigadores • Geração de obtenção de Tablets, etc • Interface de Metadados dados voláteis Investigação • Possibilidade de Amigável Remediação • Grupo Especialista
  • 5. Taxonomia: Evento>Ataque>Incidente>CrimeINCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não ObjetivosAgente Ferramentas Falha Ação Alvo autorizado Crime
  • 6. Dinâmicas de Incidentes ou “Crimes Digitais” Resultado Agente Ferramentas Falha Ação Alvo Objetivos não autorizado Hackers Ataque Físico Design Probe Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan Processos Obtenção Ganho Terroristas Eng. Social Configuração Flood Dados informação Financeiro confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass Computadores Spoof Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia RecursosJohn D. Howard e Thomas A. Longstaff RouboA Common Language for Computer Security Incidents Modificaçãohttp://www.cert.org/research/taxonomy_988667.pdf Remoção
  • 7. Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP1)Timing, 11) Ferramentas,2) Vítimas/Alvos, 12) Mecanismo de Persistência,3) Origem, 13) Método de Propagação,4) Mecanismo de Entrada, 14) Dados Alvo,5) Vulnerabilidade ou Exposição, 15) Compactação de Dados,6) Exploit ou Payload, 16) Modo de Extrafiltração,7) Weaponization, 17) Atribuição Externa,8) Atividade pós-exploração, 18) Grau de Profissionalismo,9) Método de Comando e Controle, 19) Variedade de Técnicas utilizadas,10) Servidores de Comando e Controle, 20) Escopo (R. Beitlich, M. Cloppert) Agente Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
  • 8. Diferentes Níveis de Importância EstratégicaDiferentes Categorias de Agentes e Objetivos diagrama: - David Ross – GFIRST/Mandiant
  • 9. Processos de Investigação Digital
  • 10. Exemplo de Processo de Investigação
  • 11. • CheckList de Abertura• Requisitar Autorização• Designar responsáveis • Preservação e Coleta • Acompanhamento• Efetuar • Inventário • Enviar para Análise
  • 12. Tratamento > Coleta Presencial
  • 13. Tratamento > Coleta Presencial
  • 14. Tratamento > Coleta Presencial• PADRONIZAR o processamento, gerando CONTROLE• MINIMIZAR ao máximo a PERDA de dados• EVITAR a CONTAMINAÇÃO de dados / informações
  • 15. Tratamento > Coleta Remota
  • 16. • INFORMAÇÃO sobre as FERRAMENTAS utilizadas• INFORMAÇÕES sobre a REDE• INFORMAÇÕES sobre a AQUISIÇÃO• INFORMAÇÕES sobre ARQUIVAMENTO
  • 17. Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 – Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Autorização Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup)Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de EmailsRequisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
  • 18. Resposta a Incidentes e ForenseComputacional – Abordagem Híbrida“Computer Forensics: Results of LiveResponse Inquiry vs Memory Image Analysis”
  • 19. Cyber Segurança – uma crise de priorizaçãoNCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
  • 20. Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
  • 21. Pessoas: A crise de capital humano em CiberSegurança
  • 22. Alguns Desafios em Perícia Computacional e Resposta a Incidentes1 – aumento do tamanho das mídias2 – aumento das fontes de dados3 – novidades tecnológicas4 – melhorias de performance de ferramentas5 – melhor triagem antes da coleta de dados6 – evolução de técnicas de análise7 – melhorias na taxonomia e compartilhamento de dados
  • 23. Desafios Tecnológicos1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
  • 24. 1 – aumento do tamanho das mídias (HDs)Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
  • 25. 1 – aumento do tamanho das mídias (HDs) Discos: aumento de +576%. Estações de Trabalho: +29,7% PDA/Blackberry/Assemelhados: +859%
  • 26. Motivadores de Avanços Tecnológicos1 – aumento do tamanho das mídias (HDs)2 – aumento das fontes de dados a serem analisadas: - Análise de discos de Estado Sólido (SSD) - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs/BD - Análise de dispositivos móveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
  • 27. 2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d eHD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clustersMemória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threadsRede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • 28. Outras Fontes de Dados:Análise de Memória – ex 1 (pdgmail.py)
  • 29. Outras Fontes de Dados:Análise de Memória – ex 2 (Ftk 3.x)
  • 30. Outras Fontes de Dados:Análise de Memória – ex 3 (HBGary Responder)
  • 31. Outras Fontes de DadosAnálise de Sessões de Rede
  • 32. Outras Fontes de DadosAnálise de Sessões de Rede – ex. 4
  • 33. Motivadores de Avanços Tecnológicos1 – aumento do tamanho das mídias (HDs) a serem analisadas:2 – aumento das fontes de dados a serem analisadas:3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..) - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  • 34. Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7)Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssistWindows XP – UserAssist:Cifra - ROT13 (A->N, B->O, ...)Inicia o contador em 5.Windows 7/2008 beta – UserAssist:Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)Windows 7/2008 – UserAssist:Cifra – ROT13 / inicia o contador em 0.
  • 35. Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4)Análise dos metadados de MAC Times (Modificação, Acesso e Criação)Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integerSegundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)timeLimite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901)bits: 1111111111111111111111111111111ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242.Suporte completo a ext4: FTK 3.3 e Encase 7
  • 36. Motivadores de Avanços Tecnológicos1 – aumento do tamanho das mídias2 – aumento das fontes de dados3 – adequação diante de novidades tecnológicas4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) - Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
  • 37. 4 - Melhoria de PerformanceBackEnd Oracle / Processamento Distribuído – AD LAB
  • 38. 4 - Melhoria de PerformanceCriptoAnálise – FRED-SC + EDPR - CUDA
  • 39. Avanços Tecnológicos - Triagem1 – aumento do tamanho das mídias2 – aumento das fontes de dados3 – adequação diante de novidades tecnológicas4 – melhorias de performance de ferramentas:5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  • 40. 5 – Melhoria na Triagem: ex 1 – em campoEnCasePortableUSB – 4GBPenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
  • 41. 5 – Melhoria na Triagem: ex 2 – em campo
  • 42. 5 – Melhoria na Triagem: ex 3 – remota Servlets Installed on Computers
  • 43. Forense Remota / Remediação Auditoria Logical ResultLog Evidence File• Quem? • Garantia de • Existência ou não integridade de arquivos• Quando? • Materialização de responsivos• Onde? prova •Tamanho reduzido
  • 44. Avanços Tecnológicos1– aumento do tamanho das mídias2– aumento das fontes de dados3– novidades tecnológicas4– melhorias de performance de ferramentas5– melhor triagem antes da coleta de dados6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis - indexação de textos em imagens (OCR); Novos algorítimos de análise - Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  • 45. Evolução de Técnicas de Análise - HashesUso de Hashes Criptográficos- Arquivos de Evidência .e01 vs .dd:- E0x1,L0x1: bzip, AES-256, MD5+SHA1- arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle)- Outros tipos de “Hashing” úteis na Forense:Fuzzy hashing | File block hash analysis | Entropy
  • 46. Fuzzy Hashing- ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net- FTK 3.x context triggered piecewise hashes (CTPH)
  • 47. Hashes - Entropy
  • 48. File Block Hash Analysishttps://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
  • 49. Algorítimos de Comparação de Vídeos Identificação/categorização de vídeos tolerante a mudança de: • Formato; • Cor; Brilho; Contraste; • Compressão; • Espelhamento; • Cortes; • Distorção; • Mudança de proporção; • Edições (~ 2 seg)
  • 50. Avanços Tecnológicos1 – aumento do tamanho das mídias (HDs)2 – aumento das fontes de dados3 – novidades tecnológicas4 – melhorias de performance de ferramentas5 – melhor triagem antes da coleta de dados6 – evolução de técnicas de análise7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem ( Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
  • 51. Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
  • 52. Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications ApplicationsFirewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação de Milhões de Eventos Diários
  • 53. Monitoração de Infra-Estruturas Críticas (PLCs) 54
  • 54. 15/08/201Inteligência para Investigações e apoio à Decisão 1 55
  • 55. Foco de Atenção: Ênfase na *Ameaça*- Kill Chain – sequência de eventos para uma ameaça afetar um alvo: - Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto TBS – Time Based Security: Pt ~ Dt + Rt “Proteção requer detectar um ataque e reagir a Tempo”. Proteção = Tempo Detecção + Tempo Reação suficientes Exposição = Tempo Detecção + Tempo Reação tardios Conceito TBS:: Winn Schwartau diagramas: Mike Cloppert – Lockheed Martin
  • 56. Evolução de um Ataque Temporalmente
  • 57. Análise de Incidentes - TTPs Táticas, Técnicas, e ProcedimentosMike Cloppert – Lockheed Martin
  • 58. Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
  • 59. Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Frameworkhttp://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
  • 60. Alguns casos – 2011Heterogeneidade de Casos:• EBCDIC 3270 rede (fraude externa)• Solaris – adm (sabotagem)• Java boleto (fraude interna)• Invasão de site / vazamento de dados• Clipper – (fraude interna)• MSDOS 16bit - Video poker (Forças da Lei)• Sistema Web .NET + SQL Server (Fraude Votação)
  • 61. Maturidade em Investigação Computacional
  • 62. Desenvolvimento e Integração de Tecnologia
  • 63. Obrigado! Sandro Süffert, CTOTechbiz Forense Digital http://blog.suffert.com

Related Documents