Apresentação SegInfo
date post
19-Oct-2014Category
Technology
view
1.167download
0
Embed Size (px)
description
Transcript of Apresentação SegInfo
Slide 1
Desafios em Computao Forense e Resposta a Incidentes de Segurana
Sandro Sffert
http://blog.suffert.com
Mobile Forensics
Equipamentos de Laboratrios de Percia Computao Forense s isto?
Bloqueadores de Escrita
Duplicadores de Mdias
Softwares de Anlise Pericial Armazenamento Porttil
Aquisio em campo
Computadores Especializados
reas usurias de Tecnologias de Computao Forense e Investigao Digital:
Percia Criminal Segurana da Inf.
Anti-Fraude
Jurdico
Auditoria
Inteligncia
Defesa Ciberntica
Fiscalizao
Compliance
Algumas modalidades de Forense Computacional
Forense Post-Mortem HDs, CDs, Pen-Drives, Disquetes, etc Telefones, GPS, Tablets, etc
Forense de Rede Redes Cabeadas Redes Sem Fio Reconstruo de Sesses Gerao de Metadados
Forense Remota Conexo online Silenciosa Stealth Capacidade de obteno de dados volteis Possibilidade de Remediao
Forense Colaborativa Mltiplas Investigaes Mltiplos Investigadores Interface de Investigao Amigvel Grupo Especialista
Objetivos
INCIDENTE
Agente Resultado no autorizado
ATAQUE / VIOLAO
Ferramentas Falha Alvo
EVENTO
Ao
Taxonomia: Evento>Ataque>Incidente>Crime
Crime
Agente
Ferramentas
Falha Ao
Ataque Fsico Hackers
Espies
Terroristas
Vndalos
Voyeurs
Mercenrios
Troca de Inf.
Eng. Social
Programas
Toolkit
Interceptao
Ataque Distribuido
Design
Implementao
Configurao
Probe
Scan
Flood
Autenticao
Bypass
Spoof
Leitura
Cpia
Roubo
Modificao
Remoo
Funcionrios
Alvo Resultado no autorizado Objetivos
Aumento nveis
de acesso
Contas
Processos
Dados
Computadores
Redes Locais
Redes WAN
Obteno informao confidencial Corrupo de informao
Negao de Servio
Roubo de Recursos
Ganho
Financeiro
Ganho Poltico
Dano
Desafio, status
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf
Central Telefnica
Dinmicas de /
Atribuio de Autoria/Responsabilidade Muito alm da identificao de endereos IP
1)Timing, 2) Vtimas/Alvos, 3) Origem, 4) Mecanismo de Entrada, 5) Vulnerabilidade ou Exposio, 6) Exploit ou Payload, 7) Weaponization, 8) Atividade ps-explorao, 9) Mtodo de Comando e Controle, 10) Servidores de Comando e Controle,
11) Ferramentas, 12) Mecanismo de Persistncia, 13) Mtodo de Propagao, 14) Dados Alvo, 15) Compactao de Dados, 16) Modo de Extrafiltrao, 17) Atribuio Externa, 18) Grau de Profissionalismo, 19) Variedade de Tcnicas utilizadas, 20) Escopo
Identificao das consequncias do ataque pode ser mais fcil que detectar o ataque
(R. Beitlich, M. Cloppert)
Agente
Diferentes Nveis de Importncia Estratgica Diferentes Categorias de Agentes e Objetivos
diagrama: - David Ross GFIRST/Mandiant
Processos de Investigao Digital
Exemplo de Processo de Investigao
CheckList de Abertura Requisitar Autorizao Designar responsveis Preservao e Coleta Acompanhamento Efetuar Inventrio Enviar para Anlise
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
PADRONIZAR o processamento, gerando CONTROLE
MINIMIZAR ao mximo a PERDA de dados
EVITAR a
CONTAMINAO de dados / informaes
Tratamento > Coleta Remota
INFORMAO sobre as FERRAMENTAS utilizadas
INFORMAES sobre a REDE INFORMAES sobre a
AQUISIO
INFORMAES sobre ARQUIVAMENTO
Processos Forenses
Processo de Investigao
Tratamento Anlise RelatrioTriagem
Deteco
Notificao
Encerramento
Autorizado?[No]
[Sim]
RequisioForense
Definir o que coletar
Coleta Remota
Inventariar
FORM01 - Autorizao
FORM02 - Questionrio
FORM07
Requisitar Autorizao
FORM10 FORM11
Renegociar Requisio
Remoto?
[Sim]
Processo de Coleta Presencial[No]
IniciarAnlise
Checklist de Abertura de Caso
FORM06 FORM-CAC
Mais Evidncias a
coletar?
[No]
[Sim]Novos Alvos
Identificados?
[No]
[Sim]
Iniciar Anlise
Dados Suficientes?
Reiniciar Tratamento [No]
[Sim]
Processos de Anlise
Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?
Utilizar os processos de anlise para obter as respostas
Anlise de Emails
Anlise de Documentos
Anlise de Artefatos Web
Anlise de Artefatos de SO
Recuperao de Arquivos Apagados
Anlise de Hash
Comparao de Baseline
FORM05 Notas de Lab.
Existe Informao Incriminante fora do
escopo inicial?[Sim]Abrir uma Nova Investigao
[No]
Requisitar Informaes
[Sim]
Se obtidas, analisar relevncia dos dados
levantados e relacionamento com
dados atuais
Preparar Relatrio
Informaes Suficientes para Concluir?
[Sim]
[No][No]
Outras Anlises Especficas
NecessrioInformaes fora das permisses diretas do
investigador?
Arquivar Documentao na
Pasta do Caso
Encerramento
Preencher ficha de acompanhamento
gerencial
Registrar/Comunicar o Trmino do caso
Necessrio Acionar Autoridades Externas?
[No]
Enviar Informaes para Autoridades[Sim]
Aguardar Instrues
Sanitizar mdias de armazenamento
temporrio (trabalho)
Arquivar mdias de armazenamento longo (originais/cpias backup)
Fim daInvestigao
&Z> Z/D/
Resposta a Incidentes e Forense Computacional Abordagem Hbrida
Cyber Segurana uma crise de priorizao
NCO/NITRD National Coordination Office / Networking and Information Technology Research and Development
Priorizaes Recomendadas pelo Comit de T.I. do Gov. Americano
NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
Pessoas: A crise de capital humano em CiberSegurana
1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 novidades tecnolgicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evoluo de tcnicas de anlise 7 melhorias na taxonomia e compartilhamento de dados
Alguns Desafios em Percia Computacional e Resposta a Incidentes
1 aumento do tamanho das mdias (HDs) a serem analisadas: - Lei de Moore -> nmero de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rgidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso disco (I/O) no cresce to rapidamente.. - maioria dos hds possuem mais de um milho de itens - indexao, carving, anlise de assinatura
Desafios Tecnolgicos
1 aumento do tamanho das mdias (HDs)
Fonte: Han-Kwang Nienhuys http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
1 aumento do tamanho das mdias (HDs)
Discos: aumento de +576%. Estaes de Trabalho: +29,7%
PDA/Blackberry/Assemelhados: +859%
Motivadores de Avanos Tecnolgicos
1 aumento do tamanho das mdias (HDs)
2 aumento das fontes de dados a serem analisadas: - Anlise de discos de Estado Slido (SSD) - Anlise de mdias removveis - Anlise de computadores remotos - Anlise de memria - Anlise de sesses de rede - Anlise de registros/logs/BD - Anlise de dispositivos mveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
2 aumento das fontes de dados
HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters
+ d a d o s + c o m p l e x i d a d e
Memria: Bit Byte Pgina Thread Processo 1 8bits 4kB n pginas n threads
Rede: Bit Byte Pacote Stream Sesso 1 8bits n bytes n pacotes n streams
Outras Fontes de Dados: Anlise de Memria ex 1 (pdgmail.py)
Outras Fontes de Dados: Anlise de Memria ex 2 (Ftk 3.x)
Outras Fontes de Dados: Anlise de Memria ex 3 (HBGary Responder)
Outras Fontes de Dados Anlise de Sesses de Rede
Outras Fontes de Dados Anlise de Sesses de Rede ex. 4
Motivadores de Avanos Tecnolgicos
1 aumento do tamanho das mdias (HDs) a serem analisadas: 2 aumento das fontes de dados a serem analisadas:
3 necessidade de adequao diante de novidades tecnolgicas
- Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) - Mobile Forensics ex: variedade de S.Os, aplicaes e conectividade - Necessidade de anlise de artefatos de mdias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnolgicas: Novos sistemas operacionais ex 1 (Win 7)
Estatsticas da execuo de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USER\Software\Microsoft\Window