Slide 1

Desafios em Computao Forense e Resposta a Incidentes de Segurana

Sandro Sffert

http://blog.suffert.com

Mobile Forensics

Equipamentos de Laboratrios de Percia Computao Forense s isto?

Bloqueadores de Escrita

Duplicadores de Mdias

Softwares de Anlise Pericial Armazenamento Porttil

Aquisio em campo

Computadores Especializados

reas usurias de Tecnologias de Computao Forense e Investigao Digital:

Percia Criminal Segurana da Inf.

Anti-Fraude

Jurdico

Auditoria

Inteligncia

Defesa Ciberntica

Fiscalizao

Compliance

Algumas modalidades de Forense Computacional

Forense Post-Mortem HDs, CDs, Pen-Drives, Disquetes, etc Telefones, GPS, Tablets, etc

Forense de Rede Redes Cabeadas Redes Sem Fio Reconstruo de Sesses Gerao de Metadados

Forense Remota Conexo online Silenciosa Stealth Capacidade de obteno de dados volteis Possibilidade de Remediao

Forense Colaborativa Mltiplas Investigaes Mltiplos Investigadores Interface de Investigao Amigvel Grupo Especialista

Objetivos

INCIDENTE

Agente Resultado no autorizado

ATAQUE / VIOLAO

Ferramentas Falha Alvo

EVENTO

Ao

Taxonomia: Evento>Ataque>Incidente>Crime

Crime

Agente

Ferramentas

Falha Ao

Ataque Fsico Hackers

Espies

Terroristas

Vndalos

Voyeurs

Mercenrios

Troca de Inf.

Eng. Social

Programas

Toolkit

Interceptao

Ataque Distribuido

Design

Implementao

Configurao

Probe

Scan

Flood

Autenticao

Bypass

Spoof

Leitura

Cpia

Roubo

Modificao

Remoo

Funcionrios

Alvo Resultado no autorizado Objetivos

Aumento nveis

de acesso

Contas

Processos

Dados

Computadores

Redes Locais

Redes WAN

Obteno informao confidencial Corrupo de informao

Negao de Servio

Roubo de Recursos

Ganho

Financeiro

Ganho Poltico

Dano

Desafio, status

John D. Howard e Thomas A. Longstaff

A Common Language for Computer Security Incidents

http://www.cert.org/research/taxonomy_988667.pdf

Central Telefnica

Dinmicas de /

Atribuio de Autoria/Responsabilidade Muito alm da identificao de endereos IP

1)Timing, 2) Vtimas/Alvos, 3) Origem, 4) Mecanismo de Entrada, 5) Vulnerabilidade ou Exposio, 6) Exploit ou Payload, 7) Weaponization, 8) Atividade ps-explorao, 9) Mtodo de Comando e Controle, 10) Servidores de Comando e Controle,

11) Ferramentas, 12) Mecanismo de Persistncia, 13) Mtodo de Propagao, 14) Dados Alvo, 15) Compactao de Dados, 16) Modo de Extrafiltrao, 17) Atribuio Externa, 18) Grau de Profissionalismo, 19) Variedade de Tcnicas utilizadas, 20) Escopo

Identificao das consequncias do ataque pode ser mais fcil que detectar o ataque

(R. Beitlich, M. Cloppert)

Agente

Diferentes Nveis de Importncia Estratgica Diferentes Categorias de Agentes e Objetivos

diagrama: - David Ross GFIRST/Mandiant

Processos de Investigao Digital

Exemplo de Processo de Investigao

CheckList de Abertura Requisitar Autorizao Designar responsveis Preservao e Coleta Acompanhamento Efetuar Inventrio Enviar para Anlise

Tratamento > Coleta Presencial

Tratamento > Coleta Presencial

Tratamento > Coleta Presencial

PADRONIZAR o processamento, gerando CONTROLE

MINIMIZAR ao mximo a PERDA de dados

EVITAR a

CONTAMINAO de dados / informaes

Tratamento > Coleta Remota

INFORMAO sobre as FERRAMENTAS utilizadas

INFORMAES sobre a REDE INFORMAES sobre a

AQUISIO

INFORMAES sobre ARQUIVAMENTO

Processos Forenses

Processo de Investigao

Tratamento Anlise RelatrioTriagem

Deteco

Notificao

Encerramento

Autorizado?[No]

[Sim]

RequisioForense

Definir o que coletar

Coleta Remota

Inventariar

FORM01 - Autorizao

FORM02 - Questionrio

FORM07

Requisitar Autorizao

FORM10 FORM11

Renegociar Requisio

Remoto?

[Sim]

Processo de Coleta Presencial[No]

IniciarAnlise

Checklist de Abertura de Caso

FORM06 FORM-CAC

Mais Evidncias a

coletar?

[No]

[Sim]Novos Alvos

Identificados?

[No]

[Sim]

Iniciar Anlise

Dados Suficientes?

Reiniciar Tratamento [No]

[Sim]

Processos de Anlise

Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?

Utilizar os processos de anlise para obter as respostas

Anlise de Emails

Anlise de Documentos

Anlise de Artefatos Web

Anlise de Artefatos de SO

Recuperao de Arquivos Apagados

Anlise de Hash

Comparao de Baseline

FORM05 Notas de Lab.

Existe Informao Incriminante fora do

escopo inicial?[Sim]Abrir uma Nova Investigao

[No]

Requisitar Informaes

[Sim]

Se obtidas, analisar relevncia dos dados

levantados e relacionamento com

dados atuais

Preparar Relatrio

Informaes Suficientes para Concluir?

[Sim]

[No][No]

Outras Anlises Especficas

NecessrioInformaes fora das permisses diretas do

investigador?

Arquivar Documentao na

Pasta do Caso

Encerramento

Preencher ficha de acompanhamento

gerencial

Registrar/Comunicar o Trmino do caso

Necessrio Acionar Autoridades Externas?

[No]

Enviar Informaes para Autoridades[Sim]

Aguardar Instrues

Sanitizar mdias de armazenamento

temporrio (trabalho)

Arquivar mdias de armazenamento longo (originais/cpias backup)

Fim daInvestigao

&Z> Z/D/

Resposta a Incidentes e Forense Computacional Abordagem Hbrida

Cyber Segurana uma crise de priorizao

NCO/NITRD National Coordination Office / Networking and Information Technology Research and Development

Priorizaes Recomendadas pelo Comit de T.I. do Gov. Americano

NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43

Pessoas: A crise de capital humano em CiberSegurana

1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 novidades tecnolgicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evoluo de tcnicas de anlise 7 melhorias na taxonomia e compartilhamento de dados

Alguns Desafios em Percia Computacional e Resposta a Incidentes

1 aumento do tamanho das mdias (HDs) a serem analisadas: - Lei de Moore -> nmero de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rgidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso disco (I/O) no cresce to rapidamente.. - maioria dos hds possuem mais de um milho de itens - indexao, carving, anlise de assinatura

Desafios Tecnolgicos

1 aumento do tamanho das mdias (HDs)

Fonte: Han-Kwang Nienhuys http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg

1 aumento do tamanho das mdias (HDs)

Discos: aumento de +576%. Estaes de Trabalho: +29,7%

PDA/Blackberry/Assemelhados: +859%

Motivadores de Avanos Tecnolgicos

1 aumento do tamanho das mdias (HDs)

2 aumento das fontes de dados a serem analisadas: - Anlise de discos de Estado Slido (SSD) - Anlise de mdias removveis - Anlise de computadores remotos - Anlise de memria - Anlise de sesses de rede - Anlise de registros/logs/BD - Anlise de dispositivos mveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...

2 aumento das fontes de dados

HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters

+ d a d o s + c o m p l e x i d a d e

Memria: Bit Byte Pgina Thread Processo 1 8bits 4kB n pginas n threads

Rede: Bit Byte Pacote Stream Sesso 1 8bits n bytes n pacotes n streams

Outras Fontes de Dados: Anlise de Memria ex 1 (pdgmail.py)

Outras Fontes de Dados: Anlise de Memria ex 2 (Ftk 3.x)

Outras Fontes de Dados: Anlise de Memria ex 3 (HBGary Responder)

Outras Fontes de Dados Anlise de Sesses de Rede

Outras Fontes de Dados Anlise de Sesses de Rede ex. 4

Motivadores de Avanos Tecnolgicos

1 aumento do tamanho das mdias (HDs) a serem analisadas: 2 aumento das fontes de dados a serem analisadas:

3 necessidade de adequao diante de novidades tecnolgicas

- Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) - Mobile Forensics ex: variedade de S.Os, aplicaes e conectividade - Necessidade de anlise de artefatos de mdias sociais: Orkut/Facebook/Twitter/..

Novidades Tecnolgicas: Novos sistemas operacionais ex 1 (Win 7)

Estatsticas da execuo de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USER\Software\Microsoft\Window