Slide 1

Desafios em Computao Forense e Resposta a Incidentes de Segurana

Sandro Sffert

http://blog.suffert.com

Mobile Forensics

Equipamentos de Laboratrios de Percia Computao Forense s isto?

Bloqueadores de Escrita

Duplicadores de Mdias

Softwares de Anlise Pericial Armazenamento Porttil

Aquisio em campo

Computadores Especializados

reas usurias de Tecnologias de Computao Forense e Investigao Digital:

Percia Criminal Segurana da Inf.

Anti-Fraude

Jurdico

Auditoria

Inteligncia

Defesa Ciberntica

Fiscalizao

Compliance

Algumas modalidades de Forense Computacional

Forense Post-Mortem HDs, CDs, Pen-Drives, Disquetes, etc Telefones, GPS, Tablets, etc

Forense de Rede Redes Cabeadas Redes Sem Fio Reconstruo de Sesses Gerao de Metadados

Forense Remota Conexo online Silenciosa Stealth Capacidade de obteno de dados volteis Possibilidade de Remediao

Forense Colaborativa Mltiplas Investigaes Mltiplos Investigadores Interface de Investigao Amigvel Grupo Especialista

Objetivos

INCIDENTE

Agente Resultado no autorizado

ATAQUE / VIOLAO

Ferramentas Falha Alvo

EVENTO

Ao

Taxonomia: Evento>Ataque>Incidente>Crime

Crime

Agente

Ferramentas

Falha Ao

Ataque Fsico Hackers

Espies

Terroristas

Vndalos

Voyeurs

Mercenrios

Troca de Inf.

Eng. Social

Programas

Toolkit

Interceptao

Ataque Distribuido

Design

Implementao

Configurao

Probe

Scan

Flood

Autenticao

Bypass

Spoof

Leitura

Cpia

Roubo

Modificao

Remoo

Funcionrios

Alvo Resultado no autorizado Objetivos

Aumento nveis

de acesso

Contas

Processos

Dados

Computadores

Redes Locais

Redes WAN

Obteno informao confidencial Corrupo de informao

Negao de Servio

Roubo de Recursos

Ganho

Financeiro

Ganho Poltico

Dano

Desafio, status

John D. Howard e Thomas A. Longstaff

A Common Language for Computer Security Incidents

http://www.cert.org/research/taxonomy_988667.pdf

Central Telefnica

Dinmicas de /

Atribuio de Autoria/Responsabilidade Muito alm da identificao de endereos IP

1)Timing, 2) Vtimas/Alvos, 3) Origem, 4) Mecanismo de Entrada, 5) Vulnerabilidade ou Exposio, 6) Exploit ou Payload, 7) Weaponization, 8) Atividade ps-explorao, 9) Mtodo de Comando e Controle, 10) Servidores de Comando e Controle,

11) Ferramentas, 12) Mecanismo de Persistncia, 13) Mtodo de Propagao, 14) Dados Alvo, 15) Compactao de Dados, 16) Modo de Extrafiltrao, 17) Atribuio Externa, 18) Grau de Profissionalismo, 19) Variedade de Tcnicas utilizadas, 20) Escopo

Identificao das consequncias do ataque pode ser mais fcil que detectar o ataque

(R. Beitlich, M. Cloppert)

Agente

Diferentes Nveis de Importncia Estratgica Diferentes Categorias de Agentes e Objetivos

diagrama: - David Ross GFIRST/Mandiant

Processos de Investigao Digital

Exemplo de Processo de Investigao

CheckList de Abertura Requisitar Autorizao Designar responsveis Preservao e Coleta Acompanhamento Efetuar Inventrio Enviar para Anlise

Tratamento > Coleta Presencial

Tratamento > Coleta Presencial

Tratamento > Coleta Presencial

PADRONIZAR o processamento, gerando CONTROLE

MINIMIZAR ao mximo a PERDA de dados

EVITAR a

CONTAMINAO de dados / informaes

Tratamento > Coleta Remota

INFORMAO sobre as FERRAMENTAS utilizadas

INFORMAES sobre a REDE INFORMAES sobre a

AQUISIO

INFORMAES sobre ARQUIVAMENTO

Processos Forenses

Processo de Investigao

Tratamento Anlise RelatrioTriagem

Deteco

Notificao

Encerramento

Autorizado?[No]

[Sim]

RequisioForense

Definir o que coletar

Coleta Remota

Inventariar

FORM01 - Autorizao

FORM02 - Questionrio

FORM07

Requisitar Autorizao

FORM10 FORM11

Renegociar Requisio

Remoto?

[Sim]

Processo de Coleta Presencial[No]

IniciarAnlise

Checklist de Abertura de Caso

FORM06 FORM-CAC

Mais Evidncias a

coletar?

[No]

[Sim]Novos Alvos

Identificados?

[No]

[Sim]

Iniciar Anlise

Dados Suficientes?

Reiniciar Tratamento [No]

[Sim]

Processos de Anlise

Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?

Utilizar os processos de anlise para obter as respostas

Anlise de Emails

Anlise de Documentos

Anlise de Artefatos Web

Anlise de Artefatos de SO

Recuperao de Arquivos Apagados

Anlise de Hash

Comparao de Baseline

FORM05 Notas de Lab.

Existe Informao Incriminante fora do

escopo inicial?[Sim]Abrir uma Nova Investigao

[No]

Requisitar Informaes

[Sim]

Se obtidas, analisar relevncia dos dados

levantados e relacionamento com

dados atuais

Preparar Relatrio

Informaes Suficientes para Concluir?

[Sim]

[No][No]

Outras Anlises Especficas

NecessrioInformaes fora das permisses diretas do

investigador?

Arquivar Documentao na

Pasta do Caso

Encerramento

Preencher ficha de acompanhamento

gerencial

Registrar/Comunicar o Trmino do caso

Necessrio Acionar Autoridades Externas?

[No]

Enviar Informaes para Autoridades[Sim]

Aguardar Instrues

Sanitizar mdias de armazenamento

temporrio (trabalho)

Arquivar mdias de armazenamento longo (originais/cpias backup)

Fim daInvestigao

&Z> Z/D/

Resposta a Incidentes e Forense Computacional Abordagem Hbrida

Cyber Segurana uma crise de priorizao

NCO/NITRD National Coordination Office / Networking and Information Technology Research and Development

Priorizaes Recomendadas pelo Comit de T.I. do Gov. Americano

NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43

Pessoas: A crise de capital humano em CiberSegurana

1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 novidades tecnolgicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evoluo de tcnicas de anlise 7 melhorias na taxonomia e compartilhamento de dados

Alguns Desafios em Percia Computacional e Resposta a Incidentes

1 aumento do tamanho das mdias (HDs) a serem analisadas: - Lei de Moore -> nmero de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rgidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso disco (I/O) no cresce to rapidamente.. - maioria dos hds possuem mais de um milho de itens - indexao, carving, anlise de assinatura

Desafios Tecnolgicos

1 aumento do tamanho das mdias (HDs)

Fonte: Han-Kwang Nienhuys http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg

1 aumento do tamanho das mdias (HDs)

Discos: aumento de +576%. Estaes de Trabalho: +29,7%

PDA/Blackberry/Assemelhados: +859%

Motivadores de Avanos Tecnolgicos

1 aumento do tamanho das mdias (HDs)

2 aumento das fontes de dados a serem analisadas: - Anlise de discos de Estado Slido (SSD) - Anlise de mdias removveis - Anlise de computadores remotos - Anlise de memria - Anlise de sesses de rede - Anlise de registros/logs/BD - Anlise de dispositivos mveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...

2 aumento das fontes de dados

HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters

+ d a d o s + c o m p l e x i d a d e

Memria: Bit Byte Pgina Thread Processo 1 8bits 4kB n pginas n threads

Rede: Bit Byte Pacote Stream Sesso 1 8bits n bytes n pacotes n streams

Outras Fontes de Dados: Anlise de Memria ex 1 (pdgmail.py)

Outras Fontes de Dados: Anlise de Memria ex 2 (Ftk 3.x)

Outras Fontes de Dados: Anlise de Memria ex 3 (HBGary Responder)

Outras Fontes de Dados Anlise de Sesses de Rede

Outras Fontes de Dados Anlise de Sesses de Rede ex. 4

Motivadores de Avanos Tecnolgicos

1 aumento do tamanho das mdias (HDs) a serem analisadas: 2 aumento das fontes de dados a serem analisadas:

3 necessidade de adequao diante de novidades tecnolgicas

- Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) - Mobile Forensics ex: variedade de S.Os, aplicaes e conectividade - Necessidade de anlise de artefatos de mdias sociais: Orkut/Facebook/Twitter/..

Novidades Tecnolgicas: Novos sistemas operacionais ex 1 (Win 7)

Estatsticas da execuo de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist Windows XP UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta UserAssist: Cifra Vignre (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 UserAssist: Cifra ROT13 / inicia o contador em 0.

Anlise dos metadados de MAC Times (Modificao, Acesso e Criao) Unix Millenium Bug (Y2K38) - at ext3 32 bit signed integer Segundos desde 00:00:00 de 1 de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 lanado em 25 de dezembro de 2008, estende timestamps para

nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do H[SDQGHGWLPHVWDPSDXPHQWDQGRROLPLWHSDUDRDQR

Suporte completo a ext4: FTK 3.3 e Encase 7

Novidades Tecnolgicas: Novos sistemas de arquivo ex 2 (ext4)

1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 adequao diante de novidades tecnolgicas

4 melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x Oracle - Aquisio Remota: dados volteis, memria, discos, artefatos especficos - Processamento Distribudo: DNA -> FTK 3.x -> AD LAB - Utilizao de Programao CUDA para criptoanlise (Fred SC + EDPR) - Utilizao de Cloud Computing para criptoanlise (Passware Kit + EC2)

Motivadores de Avanos Tecnolgicos

4 - Melhoria de Performance BackEnd Oracle / Processamento Distribudo AD

LAB

4 - Melhoria de Performance CriptoAnlise FRED-SC + EDPR - CUDA

Avanos Tecnolgicos - Triagem

1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 adequao diante de novidades tecnolgicas 4 melhorias de performance de ferramentas:

5 melhor triagem antes da coleta de dados - Remota FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta Encase Portable - Conceito: Arquivos de evidncia lgica (LEF/L01, AD1)

Dongle / (Security key) 4-Port USB Hub

EnCase Portable USB 4GB

PenDrive/Disco 1 Gb- > 2Tb

5 Melhoria na Triagem: ex 1 em campo

5 Melhoria na Triagem: ex 2 em campo

Servlets Installed on Computers

5 Melhoria na Triagem: ex 3 remota

Forense Remota / Remediao

Auditoria Logical Evidence File

ResultLog

Quem? Quando? Onde?

Garantia de integridade

Materializao de prova Tamanho reduzido

Existncia ou no de arquivos responsivos

Avanos Tecnolgicos

1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 novidades tecnolgicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados

6 evoluo de tcnicas de anlise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis - indexao de textos em imagens (OCR); Novos algortimos de anlise - Super Timelines (Enscripts + log2timeline Kristinn Gujnsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK

Evoluo de Tcnicas de Anlise - Hashes

Uso de Hashes Criptogrficos - Arquivos de Evidncia .e01 vs .dd: - E0x1,L0x1: bzip, AES-256, MD5+SHA1 - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - 2XWURVWLSRVGH+DVKLQJ~WHLVQD)RUHQVH: Fuzzy hashing | File block hash analysis | Entropy

Fuzzy Hashing

- ssdeep Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x

context triggered piecewise hashes (CTPH)

Hashes - Entropy

File Block Hash Analysis

https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657

Algortimos de Comparao de Vdeos

Identificao/categorizao de vdeos tolerante a mudana de:

Formato; Cor; Brilho; Contraste; Compresso; Espelhamento; Cortes; Distoro; Mudana de proporo; Edies (~ 2 seg)

1 aumento do tamanho das mdias (HDs) 2 aumento das fontes de dados 3 novidades tecnolgicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evoluo de tcnicas de anlise

7 melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuio de Origem (Tticas, Tcnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS

Avanos Tecnolgicos

Utilizao do compartilhamento de dados Anlise de Sesses de Rede ex. ?

Correlao de Milhes de Eventos Dirios

Anti Virus Anti Virus Bancos de Dados

Applications Applications Applications Applications Applications Applications Applications Applications Applications Aplicaes Anti-Virus SO de Servers e Desktop Equipamentos

De Rede Vulnerability Assessment

Intrusion Detection Systems

Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls/ VPN

Sign-On Sign-On Gerenciamento De Identidade

Servios de Diretrio

Atributos de Usurios

Infraestrutura Fsica

Processos de Negcio Mainframes

Correlao de Eventos para apoio Deciso T.I/S.I./Fraude/Auditoria/Inteligncia

54

Monitorao de Infra-Estruturas Crticas (PLCs)

15/08/2011

55

Inteligncia para Investigaes e apoio Deciso

TBS Time Based Security: Pt ~ Dt + Rt

W

d

Proteo = Tempo Deteco + Tempo Reao suficientes

Exposio = Tempo Deteco + Tempo Reao tardios

diagramas: Mike Cloppert Lockheed Martin

- Frmula Tradicional de Risco = Ameaa x Vulnerabilidade x Impacto

- Kill Chain sequncia de eventos para uma ameaa afetar um alvo:

Foco de Ateno: nfase na *Ameaa*

Conceito TBS:: Winn Schwartau

Evoluo de um Ataque Temporalmente

Anl

ise

de In

cide

ntes

- TT

Ps

Ttic

as, T

cni

cas,

e P

roce

dim

ento

s

Mike Cloppert Lockheed Martin

Indicators of Compromise - OpenIOC

http://www.mandiant.com/uploads/presentations/SOH_052010.pdf

Tticas, Tcnicas e Procedimentos VerIS Incident Sharing - Framework

http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf

Alguns casos 2011

Heterogeneidade de Casos:

EBCDIC 3270 rede (fraude externa)

Solaris adm (sabotagem)

Java boleto (fraude interna)

Invaso de site / vazamento de dados

Clipper (fraude interna)

MSDOS 16bit - Video poker (Foras da Lei)

Sistema Web .NET + SQL Server (Fraude Votao)

Maturidade em Investigao Computacional

Desenvolvimento e Integrao de Tecnologia

Obrigado!

Sandro Sffert, CTO Techbiz Forense Digital

http://blog.suffert.com