Apresentação SegInfo
-
date post
19-Oct-2014 -
Category
Technology
-
view
1.181 -
download
0
Embed Size (px)
description
Transcript of Apresentação SegInfo
Slide 1
Desafios em Computao Forense e Resposta a Incidentes de Segurana
Sandro Sffert
http://blog.suffert.com
Mobile Forensics
Equipamentos de Laboratrios de Percia Computao Forense s isto?
Bloqueadores de Escrita
Duplicadores de Mdias
Softwares de Anlise Pericial Armazenamento Porttil
Aquisio em campo
Computadores Especializados
reas usurias de Tecnologias de Computao Forense e Investigao Digital:
Percia Criminal Segurana da Inf.
Anti-Fraude
Jurdico
Auditoria
Inteligncia
Defesa Ciberntica
Fiscalizao
Compliance
Algumas modalidades de Forense Computacional
Forense Post-Mortem HDs, CDs, Pen-Drives, Disquetes, etc Telefones, GPS, Tablets, etc
Forense de Rede Redes Cabeadas Redes Sem Fio Reconstruo de Sesses Gerao de Metadados
Forense Remota Conexo online Silenciosa Stealth Capacidade de obteno de dados volteis Possibilidade de Remediao
Forense Colaborativa Mltiplas Investigaes Mltiplos Investigadores Interface de Investigao Amigvel Grupo Especialista
Objetivos
INCIDENTE
Agente Resultado no autorizado
ATAQUE / VIOLAO
Ferramentas Falha Alvo
EVENTO
Ao
Taxonomia: Evento>Ataque>Incidente>Crime
Crime
Agente
Ferramentas
Falha Ao
Ataque Fsico Hackers
Espies
Terroristas
Vndalos
Voyeurs
Mercenrios
Troca de Inf.
Eng. Social
Programas
Toolkit
Interceptao
Ataque Distribuido
Design
Implementao
Configurao
Probe
Scan
Flood
Autenticao
Bypass
Spoof
Leitura
Cpia
Roubo
Modificao
Remoo
Funcionrios
Alvo Resultado no autorizado Objetivos
Aumento nveis
de acesso
Contas
Processos
Dados
Computadores
Redes Locais
Redes WAN
Obteno informao confidencial Corrupo de informao
Negao de Servio
Roubo de Recursos
Ganho
Financeiro
Ganho Poltico
Dano
Desafio, status
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf
Central Telefnica
Dinmicas de /
Atribuio de Autoria/Responsabilidade Muito alm da identificao de endereos IP
1)Timing, 2) Vtimas/Alvos, 3) Origem, 4) Mecanismo de Entrada, 5) Vulnerabilidade ou Exposio, 6) Exploit ou Payload, 7) Weaponization, 8) Atividade ps-explorao, 9) Mtodo de Comando e Controle, 10) Servidores de Comando e Controle,
11) Ferramentas, 12) Mecanismo de Persistncia, 13) Mtodo de Propagao, 14) Dados Alvo, 15) Compactao de Dados, 16) Modo de Extrafiltrao, 17) Atribuio Externa, 18) Grau de Profissionalismo, 19) Variedade de Tcnicas utilizadas, 20) Escopo
Identificao das consequncias do ataque pode ser mais fcil que detectar o ataque
(R. Beitlich, M. Cloppert)
Agente
Diferentes Nveis de Importncia Estratgica Diferentes Categorias de Agentes e Objetivos
diagrama: - David Ross GFIRST/Mandiant
Processos de Investigao Digital
Exemplo de Processo de Investigao
CheckList de Abertura Requisitar Autorizao Designar responsveis Preservao e Coleta Acompanhamento Efetuar Inventrio Enviar para Anlise
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
PADRONIZAR o processamento, gerando CONTROLE
MINIMIZAR ao mximo a PERDA de dados
EVITAR a
CONTAMINAO de dados / informaes
Tratamento > Coleta Remota
INFORMAO sobre as FERRAMENTAS utilizadas
INFORMAES sobre a REDE INFORMAES sobre a
AQUISIO
INFORMAES sobre ARQUIVAMENTO
Processos Forenses
Processo de Investigao
Tratamento Anlise RelatrioTriagem
Deteco
Notificao
Encerramento
Autorizado?[No]
[Sim]
RequisioForense
Definir o que coletar
Coleta Remota
Inventariar
FORM01 - Autorizao
FORM02 - Questionrio
FORM07
Requisitar Autorizao
FORM10 FORM11
Renegociar Requisio
Remoto?
[Sim]
Processo de Coleta Presencial[No]
IniciarAnlise
Checklist de Abertura de Caso
FORM06 FORM-CAC
Mais Evidncias a
coletar?
[No]
[Sim]Novos Alvos
Identificados?
[No]
[Sim]
Iniciar Anlise
Dados Suficientes?
Reiniciar Tratamento [No]
[Sim]
Processos de Anlise
Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?
Utilizar os processos de anlise para obter as respostas
Anlise de Emails
Anlise de Documentos
Anlise de Artefatos Web
Anlise de Artefatos de SO
Recuperao de Arquivos Apagados
Anlise de Hash
Comparao de Baseline
FORM05 Notas de Lab.
Existe Informao Incriminante fora do
escopo inicial?[Sim]Abrir uma Nova Investigao
[No]
Requisitar Informaes
[Sim]
Se obtidas, analisar relevncia dos dados
levantados e relacionamento com
dados atuais
Preparar Relatrio
Informaes Suficientes para Concluir?
[Sim]
[No][No]
Outras Anlises Especficas
NecessrioInformaes fora das permisses diretas do
investigador?
Arquivar Documentao na
Pasta do Caso
Encerramento
Preencher ficha de acompanhamento
gerencial
Registrar/Comunicar o Trmino do caso
Necessrio Acionar Autoridades Externas?
[No]
Enviar Informaes para Autoridades[Sim]
Aguardar Instrues
Sanitizar mdias de armazenamento
temporrio (trabalho)
Arquivar mdias de armazenamento longo (originais/cpias backup)
Fim daInvestigao
&Z> Z/D/
Resposta a Incidentes e Forense Computacional Abordagem Hbrida
Cyber Segurana uma crise de priorizao
NCO/NITRD National Coordination Office / Networking and Information Technology Research and Development
Priorizaes Recomendadas pelo Comit de T.I. do Gov. Americano
NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
Pessoas: A crise de capital humano em CiberSegurana
1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 novidades tecnolgicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evoluo de tcnicas de anlise 7 melhorias na taxonomia e compartilhamento de dados
Alguns Desafios em Percia Computacional e Resposta a Incidentes
1 aumento do tamanho das mdias (HDs) a serem analisadas: - Lei de Moore -> nmero de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rgidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso disco (I/O) no cresce to rapidamente.. - maioria dos hds possuem mais de um milho de itens - indexao, carving, anlise de assinatura
Desafios Tecnolgicos
1 aumento do tamanho das mdias (HDs)
Fonte: Han-Kwang Nienhuys http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
1 aumento do tamanho das mdias (HDs)
Discos: aumento de +576%. Estaes de Trabalho: +29,7%
PDA/Blackberry/Assemelhados: +859%
Motivadores de Avanos Tecnolgicos
1 aumento do tamanho das mdias (HDs)
2 aumento das fontes de dados a serem analisadas: - Anlise de discos de Estado Slido (SSD) - Anlise de mdias removveis - Anlise de computadores remotos - Anlise de memria - Anlise de sesses de rede - Anlise de registros/logs/BD - Anlise de dispositivos mveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
2 aumento das fontes de dados
HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters
+ d a d o s + c o m p l e x i d a d e
Memria: Bit Byte Pgina Thread Processo 1 8bits 4kB n pginas n threads
Rede: Bit Byte Pacote Stream Sesso 1 8bits n bytes n pacotes n streams
Outras Fontes de Dados: Anlise de Memria ex 1 (pdgmail.py)
Outras Fontes de Dados: Anlise de Memria ex 2 (Ftk 3.x)
Outras Fontes de Dados: Anlise de Memria ex 3 (HBGary Responder)
Outras Fontes de Dados Anlise de Sesses de Rede
Outras Fontes de Dados Anlise de Sesses de Rede ex. 4
Motivadores de Avanos Tecnolgicos
1 aumento do tamanho das mdias (HDs) a serem analisadas: 2 aumento das fontes de dados a serem analisadas:
3 necessidade de adequao diante de novidades tecnolgicas
- Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) - Mobile Forensics ex: variedade de S.Os, aplicaes e conectividade - Necessidade de anlise de artefatos de mdias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnolgicas: Novos sistemas operacionais ex 1 (Win 7)
Estatsticas da execuo de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist Windows XP UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta UserAssist: Cifra Vignre (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 UserAssist: Cifra ROT13 / inicia o contador em 0.
Anlise dos metadados de MAC Times (Modificao, Acesso e Criao) Unix Millenium Bug (Y2K38) - at ext3 32 bit signed integer Segundos desde 00:00:00 de 1 de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 lanado em 25 de dezembro de 2008, estende timestamps para
nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do H[SDQGHGWLPHVWDPSDXPHQWDQGRROLPLWHSDUDRDQR
Suporte completo a ext4: FTK 3.3 e Encase 7
Novidades Tecnolgicas: Novos sistemas de arquivo ex 2 (ext4)
1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 adequao diante de novidades tecnolgicas
4 melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x Oracle - Aquisio Remota: dados volteis, memria, discos, artefatos especficos - Processamento Distribudo: DNA -> FTK 3.x -> AD LAB - Utilizao de Programao CUDA para criptoanlise (Fred SC + EDPR) - Utilizao de Cloud Computing para criptoanlise (Passware Kit + EC2)
Motivadores de Avanos Tecnolgicos
4 - Melhoria de Performance BackEnd Oracle / Processamento Distribudo AD
LAB
4 - Melhoria de Performance CriptoAnlise FRED-SC + EDPR - CUDA
Avanos Tecnolgicos - Triagem
1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 adequao diante de novidades tecnolgicas 4 melhorias de performance de ferramentas:
5 melhor triagem antes da coleta de dados - Remota FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta Encase Portable - Conceito: Arquivos de evidncia lgica (LEF/L01, AD1)
Dongle / (Security key) 4-Port USB Hub
EnCase Portable USB 4GB
PenDrive/Disco 1 Gb- > 2Tb
5 Melhoria na Triagem: ex 1 em campo
5 Melhoria na Triagem: ex 2 em campo
Servlets Installed on Computers
5 Melhoria na Triagem: ex 3 remota
Forense Remota / Remediao
Auditoria Logical Evidence File
ResultLog
Quem? Quando? Onde?
Garantia de integridade
Materializao de prova Tamanho reduzido
Existncia ou no de arquivos responsivos
Avanos Tecnolgicos
1 aumento do tamanho das mdias 2 aumento das fontes de dados 3 novidades tecnolgicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados
6 evoluo de tcnicas de anlise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis - indexao de textos em imagens (OCR); Novos algortimos de anlise - Super Timelines (Enscripts + log2timeline Kristinn Gujnsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
Evoluo de Tcnicas de Anlise - Hashes
Uso de Hashes Criptogrficos - Arquivos de Evidncia .e01 vs .dd: - E0x1,L0x1: bzip, AES-256, MD5+SHA1 - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - 2XWURVWLSRVGH+DVKLQJ~WHLVQD)RUHQVH: Fuzzy hashing | File block hash analysis | Entropy
Fuzzy Hashing
- ssdeep Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x
context triggered piecewise hashes (CTPH)
Hashes - Entropy
File Block Hash Analysis
https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
Algortimos de Comparao de Vdeos
Identificao/categorizao de vdeos tolerante a mudana de:
Formato; Cor; Brilho; Contraste; Compresso; Espelhamento; Cortes; Distoro; Mudana de proporo; Edies (~ 2 seg)
1 aumento do tamanho das mdias (HDs) 2 aumento das fontes de dados 3 novidades tecnolgicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evoluo de tcnicas de anlise
7 melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuio de Origem (Tticas, Tcnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
Avanos Tecnolgicos
Utilizao do compartilhamento de dados Anlise de Sesses de Rede ex. ?
Correlao de Milhes de Eventos Dirios
Anti Virus Anti Virus Bancos de Dados
Applications Applications Applications Applications Applications Applications Applications Applications Applications Aplicaes Anti-Virus SO de Servers e Desktop Equipamentos
De Rede Vulnerability Assessment
Intrusion Detection Systems
Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls/ VPN
Sign-On Sign-On Gerenciamento De Identidade
Servios de Diretrio
Atributos de Usurios
Infraestrutura Fsica
Processos de Negcio Mainframes
Correlao de Eventos para apoio Deciso T.I/S.I./Fraude/Auditoria/Inteligncia
54
Monitorao de Infra-Estruturas Crticas (PLCs)
15/08/2011
55
Inteligncia para Investigaes e apoio Deciso
TBS Time Based Security: Pt ~ Dt + Rt
W
d
Proteo = Tempo Deteco + Tempo Reao suficientes
Exposio = Tempo Deteco + Tempo Reao tardios
diagramas: Mike Cloppert Lockheed Martin
- Frmula Tradicional de Risco = Ameaa x Vulnerabilidade x Impacto
- Kill Chain sequncia de eventos para uma ameaa afetar um alvo:
Foco de Ateno: nfase na *Ameaa*
Conceito TBS:: Winn Schwartau
Evoluo de um Ataque Temporalmente
Anl
ise
de In
cide
ntes
- TT
Ps
Ttic
as, T
cni
cas,
e P
roce
dim
ento
s
Mike Cloppert Lockheed Martin
Indicators of Compromise - OpenIOC
http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Tticas, Tcnicas e Procedimentos VerIS Incident Sharing - Framework
http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
Alguns casos 2011
Heterogeneidade de Casos:
EBCDIC 3270 rede (fraude externa)
Solaris adm (sabotagem)
Java boleto (fraude interna)
Invaso de site / vazamento de dados
Clipper (fraude interna)
MSDOS 16bit - Video poker (Foras da Lei)
Sistema Web .NET + SQL Server (Fraude Votao)
Maturidade em Investigao Computacional
Desenvolvimento e Integrao de Tecnologia
Obrigado!
Sandro Sffert, CTO Techbiz Forense Digital
http://blog.suffert.com