FISL 11 - Forum Internacional de Software Livre

Clavis Segurança da Informação - www.clavis.com.br - Creative Commons -BY-NC-SA 2.5

Análise Forense de Redeutilizando Software Livre

Rafael Soares FerreiraDiretor de Resposta a Incidentes e AuditoriasClavis Segurança da Informação

IntroduçãoAnálise Forense de Rede

• Captura e Análise de pacotes

• Reprodução da sessão capturada

• Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados)

Introdução

• Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques)

• Portas suspeitas

• Pacotes contendo comandos, saídas de comandos e códigos de NOP’s;

• Flood de pacotes para um determinado serviço ou máquina

Análise Forense de Rede

Introdução

Requisições HTTP suspeitas:

• Mesma URL em várias requisições

• URL’s contendo referências a comandos

Análise Forense de Rede

Ferramentas LivresTcpdump - http://www.tcpdump.org

• Ferramenta tradicional de captura de tráfego

• Aceita filtros por expressões

• Biblioteca padrão para captura de tráfego: libpcap

Ferramentas LivresNgrep - http://ngrep.sourceforge.net/

● Busca expressões regulares em payloads

● Reconhece IPv4/6, TCP, UDP, ICMPv4/6, IGMP e formato Raw

● Funciona em redes Ethernet, PPP, SLIP, FDDI, Token Ring

Ferramentas LivresNtop - http://www.ntop.org

● Exibe dados sobre a utilização da rede

● Gera estatísticas de uso utilizando diversos critérios

● Identifica sistemas operacionais passivamente

● Exibe tráfego de comunicação interna

Ferramentas LivresNtop - http://www.ntop.org

Ferramentas LivresTcpxtract - http://tcpxtract.sourceforge.net

● Extrai arquivos contidos no tráfego de rede capturado

● Identificação através de headers e footers (“file carving”)

● Suporte aos principais tipos de arquivo

Ferramentas LivresWireshark / tshark - http://www.wireshark.org

● Captura em tempo real

● Suporta vários formatos e fontes de captura

● Multi-platforma

● Análise de cabeçalhos em árvore (encapsulamento)

● Aplicação de regras e filtros

● Funcionalidades específicas para análise de tráfego de VoIP

● Reconstrução de Sessão

Ferramentas LivresXplico - http://www.xplico.org

● Network Forensic Analysis Tool (NFAT)

● Análise de informações que trafegaram pela rede

● Extrai informações como:✔ email (POP, IMAP, SMTP)✔ Conteúdos HTTP✔ Chamadas VoIP (SIP)✔ FTP, TFTP, …

● Composto por 4 macro-componentes:

* Decoder Manager * IP decoder * Um conjunto de manipuladores de dados * Sistema de visualização para os dados extraídos

● Desenvolvido utilizando as linguagens C, Python, PHP e JavaScript

● Distribuído sob a licença GPL versão 2

● Algumas partes apresentam licenças específicas compatíveis com a GPL (descritas em seus respectivos arquivos fonte)

● A interface (Xplico Interface - XI) é distribuída sob 3 licenças distintas:

* Mozilla Public License (>= 1.1)

* GNU General Public License (>= 2.0)

* GNU Lesser General Public License, (>= 2.1)

Fim...

Muito Obrigado!

Rafael Soares Ferreirarafael@clavis.com.br Diretor de Resposta a Incidentes e AuditoriasClavis Segurança da Informação

FISL 11 - Forum Internacional de Software Livre

Technology

Transcript of FISL 11 - Forum Internacional de Software Livre

CoGrOO 4.0 no FISL 13

Fisl 12 | Computação em nuvem e democracia

O Estado do Plone - FISL 14

Apresentação Openstack - FISL 2013

PHP FrameWARks - FISL

Por que Python? - FISL 10 - 2009

Cogroo Comunidade no FISL XI

Apresentação Fisl 2008

Apresentando o OpenStreetMap no FISL

FISL 11 - Novidades do OpenJDK 7

Inteligência de Negócios (BI) utilizando Software Livre @ FISL 12 - Porto Alegre

Fisl 11 - Ecossistema Ruby on Rails

Palestra wordpress - II forum revista espírito livre

Trusted Computing e Software Livre FISL 11 - 2010

Software Livre no mundo pós-Snowden - CIC/UnBpedro/trabs/fgsl2013.pdf · 2013-12-02 · Software Livre no mundo pós-Snowden 10º Forum Goiano de Software Livre Goiânia – 29/11/2013.

Service deployer FISL 2013

Introducao git fisl

App Web Escalaveis Fisl

Hardening Bruna Fisl

TDD em django sem desculpas versao fisl