Desafios em Computação Forense

e Resposta a Incidentes de Segurança

Sandro Süffert

http://blog.suffert.com

Mobile Forensics

Equipamentos de Laboratórios de Perícia Computação Forense é só isto?

Bloqueadores de Escrita

Duplicadores de Mídias

Softwares de Análise Pericial Armazenamento Portátil

Aquisição em campo

Computadores Especializados

Áreas usuárias de Tecnologias de

Computação Forense e Investigação Digital:

Perícia Criminal Segurança da Inf.

Anti-Fraude

Jurídico

Auditoria

Inteligência

Defesa Cibernética

Fiscalização

Compliance

Algumas modalidades de

Forense Computacional

Forense Post-Mortem

•HDs, CDs, Pen-Drives, Disquetes, etc

•Telefones, GPS, Tablets, etc

Forense de Rede

• Redes Cabeadas

• Redes Sem Fio

• Reconstrução de Sessões

• Geração de Metadados

Forense Remota

• Conexão online

• Silenciosa

• Stealth

• Capacidade de obtenção de dados voláteis

• Possibilidade de Remediação

Forense Colaborativa

•Múltiplas Investigações

•Múltiplos Investigadores

• Interface de Investigação Amigável

•Grupo Especialista

Objetivos

INCIDENTE

Agente Resultado não

autorizado

ATAQUE / VIOLAÇÃO

Ferramentas Falha Alvo

EVENTO

Ação

Taxonomia: Evento>Ataque>Incidente>Crime

Crime

Agente

Ferramentas

Falha Ação

Ataque Físico Hackers

Espiões

Terroristas

Vândalos

Voyeurs

Mercenários

Troca de Inf.

Eng. Social

Programas

Toolkit

Interceptação

Ataque

Distribuido

Design

Implementação

Configuração

Probe

Scan

Flood

Autenticação

Bypass

Spoof

Leitura

Cópia

Roubo

Modificação

Remoção

Funcionários

Alvo Resultado

não autorizado Objetivos

Aumento níveis de acesso

Contas

Processos

Dados

Computadores

Redes Locais

Redes WAN

Obtenção

informação confidencial

Corrupção de

informação

Negação de

Serviço

Roubo de

Recursos

Ganho

Financeiro

Ganho Político

Dano

Desafio, status

John D. Howard e Thomas A. Longstaff

A Common Language for Computer Security Incidents

http://www.cert.org/research/taxonomy_988667.pdf

Central Telefônica

Dinâmicas de Incidentes ou “Crimes Digitais”

Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP

1)Timing, 2) Vítimas/Alvos, 3) Origem, 4) Mecanismo de Entrada, 5) Vulnerabilidade ou Exposição, 6) Exploit ou Payload, 7) Weaponization, 8) Atividade pós-exploração, 9) Método de Comando e Controle, 10) Servidores de Comando e Controle,

11) Ferramentas, 12) Mecanismo de Persistência, 13) Método de Propagação, 14) Dados Alvo, 15) Compactação de Dados, 16) Modo de Extrafiltração, 17) Atribuição Externa, 18) Grau de Profissionalismo, 19) Variedade de Técnicas utilizadas, 20) Escopo

Identificação das consequências do ataque pode ser mais fácil que detectar o ataque

(R. Beitlich, M. Cloppert)

Agente

Diferentes Níveis de Importância Estratégica Diferentes Categorias de Agentes e Objetivos

diagrama: - David Ross – GFIRST/Mandiant

Processos de Investigação Digital

Exemplo de Processo de Investigação

• CheckList de Abertura

• Requisitar Autorização

• Designar responsáveis

• Preservação e Coleta

• Acompanhamento

• Efetuar

• Inventário

• Enviar para Análise

Tratamento > Coleta Presencial

Tratamento > Coleta Presencial

Tratamento > Coleta Presencial

• PADRONIZAR o processamento, gerando CONTROLE

• MINIMIZAR ao máximo a PERDA de dados

• EVITAR a CONTAMINAÇÃO de dados / informações

Tratamento > Coleta Remota

• INFORMAÇÃO sobre as FERRAMENTAS utilizadas

• INFORMAÇÕES sobre a REDE

• INFORMAÇÕES sobre a AQUISIÇÃO

• INFORMAÇÕES sobre ARQUIVAMENTO

Processos Forenses

Processo de Investigação

Tratamento Análise RelatórioTriagem

Detecção

Notificação

Encerramento

Autorizado?[Não]

[Sim]

Requisição

Forense

Definir o que

coletar

Coleta Remota

Inventariar

FORM01 -

Autorização

FORM02 -

Questionário

FORM07

Requisitar

Autorização

FORM10

FORM11

Renegociar

Requisição

Remoto?

[Sim]

Processo de

Coleta Presencial[Não]

Iniciar

Análise

Checklist de

Abertura de Caso

FORM06

FORM-CAC

Mais

Evidências a

coletar?

[Não]

[Sim]

Novos Alvos

Identificados?

[Não]

[Sim]

Iniciar Análise

Dados

Suficientes?

Reiniciar

Tratamento[Não]

[Sim]

Processos de Análise

Responder:

Quem/O que?, Quando?, Onde?, Como?, Por que?

Utilizar os processos de análise para obter as respostas

Análise de Emails

Análise de Documentos

Análise de Artefatos Web

Análise de Artefatos de SO

Recuperação de Arquivos

Apagados

Análise de Hash

Comparação de Baseline

FORM05 –

Notas de Lab.

Existe Informação

Incriminante fora do

escopo inicial?[Sim]

Abrir uma Nova

Investigação

[Não]

Requisitar

Informações

[Sim]

Se obtidas, analisar

relevância dos dados

levantados e

relacionamento com

dados atuais

Preparar

Relatório

Informações Suficientes

para Concluir?

[Sim]

[Não][Não]

Outras Análises Específicas

Necessário

Informações fora das

permissões diretas do

investigador?

Arquivar

Documentação na

Pasta do Caso

Encerramento

Preencher ficha de

acompanhamento

gerencial

Registrar/Comunicar

o Término do caso

Necessário Acionar

Autoridades Externas?

[Não]

Enviar Informações

para Autoridades[Sim]

Aguardar

Instruções

Sanitizar mídias de

armazenamento

temporário (trabalho)

Arquivar mídias de

armazenamento

longo (originais/

cópias backup)

Fim da

Investigação

“Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”

Resposta a Incidentes e Forense Computacional – Abordagem Híbrida

Cyber Segurança – uma crise de priorização

NCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development

Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano

NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43

Pessoas: A crise de capital humano em CiberSegurança

1 – aumento do tamanho das mídias

2 – aumento das fontes de dados

3 – novidades tecnológicas

4 – melhorias de performance de ferramentas

5 – melhor triagem antes da coleta de dados

6 – evolução de técnicas de análise

7 – melhorias na taxonomia e compartilhamento de dados

Alguns Desafios em Perícia

Computacional e Resposta a Incidentes

1 – aumento do tamanho das mídias (HDs) a serem analisadas:

- Lei de Moore -> número de transistores de chips dobram a cada 18 meses

- Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses

- velocidade de acesso à disco (I/O) não cresce tão rapidamente..

- maioria dos hds possuem mais de um milhão de itens

- indexação, carving, análise de assinatura

Desafios Tecnológicos

1 – aumento do tamanho das mídias (HDs)

Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg

1 – aumento do tamanho das mídias (HDs)

Discos: aumento de +576%. Estações de Trabalho: +29,7%

PDA/Blackberry/Assemelhados: +859%

Motivadores de Avanços Tecnológicos

1 – aumento do tamanho das mídias (HDs)

2 – aumento das fontes de dados a serem analisadas:

- Análise de discos de Estado Sólido (SSD)

- Análise de mídias removíveis

- Análise de computadores remotos

- Análise de memória

- Análise de sessões de rede

- Análise de registros/logs/BD

- Análise de dispositivos móveis (celulares, tablets, gps)

- outros: ebook readers, mp3 players, GPS,video-games, TVs, ...

2 – aumento das fontes de dados

HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters

+ d a d o s + c o m p l e x i d a d e

Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads

Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams

Outras Fontes de Dados:

Análise de Memória – ex 1 (pdgmail.py)

Outras Fontes de Dados:

Análise de Memória – ex 2 (Ftk 3.x)

Outras Fontes de Dados:

Análise de Memória – ex 3 (HBGary Responder)

Outras Fontes de Dados

Análise de Sessões de Rede

Outras Fontes de Dados

Análise de Sessões de Rede – ex. 4

Motivadores de Avanços Tecnológicos

1 – aumento do tamanho das mídias (HDs) a serem analisadas:

2 – aumento das fontes de dados a serem analisadas:

3 – necessidade de adequação diante de novidades tecnológicas

- Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, ..

- Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..)

- Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade

- Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..

Novidades Tecnológicas:

Novos sistemas operacionais – ex 1 (Win 7)

Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Windows XP – UserAssist:

Cifra - ROT13 (A->N, B->O, ...)

Inicia o contador em 5.

Windows 7/2008 beta – UserAssist:

Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)

Windows 7/2008 – UserAssist:

Cifra – ROT13 / inicia o contador em 0.

Análise dos metadados de MAC Times (Modificação, Acesso e Criação)

Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer

Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time

Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901)

bits: 1111111111111111111111111111111

ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242.

Suporte completo a ext4: FTK 3.3 e Encase 7

Novidades Tecnológicas:

Novos sistemas de arquivo – ex 2 (ext4)

1 – aumento do tamanho das mídias

2 – aumento das fontes de dados

3 – adequação diante de novidades tecnológicas

4 – melhorias de performance de ferramentas:

- Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle

- Aquisição Remota: dados voláteis, memória, discos, artefatos específicos

- Processamento Distribuído: DNA -> FTK 3.x -> AD LAB

- Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)

- Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)

Motivadores de Avanços Tecnológicos

4 - Melhoria de Performance

BackEnd Oracle / Processamento Distribuído – AD

LAB

4 - Melhoria de Performance

CriptoAnálise – FRED-SC + EDPR - CUDA

Avanços Tecnológicos - Triagem

1 – aumento do tamanho das mídias

2 – aumento das fontes de dados

3 – adequação diante de novidades tecnológicas

4 – melhorias de performance de ferramentas:

5 – melhor triagem antes da coleta de dados

- Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform

- Na ponta – Encase Portable

- Conceito: Arquivos de evidência lógica (LEF/L01, AD1)

Dongle / (Security key)

4-Port USB

Hub

EnCase

Portable

USB – 4GB

PenDrive/Disco – 1 Gb- > 2Tb

5 – Melhoria na Triagem: ex 1 – em campo

5 – Melhoria na Triagem: ex 2 – em campo

Servlets Installed on Computers

5 – Melhoria na Triagem: ex 3 – remota

Forense Remota / Remediação

Auditoria Logical Evidence File

ResultLog

• Quem?

• Quando?

• Onde?

• Garantia de

integridade

• Materialização de

prova

•Tamanho reduzido

• Existência ou não

de arquivos

responsivos

Avanços Tecnológicos

1 – aumento do tamanho das mídias

2 – aumento das fontes de dados

3 – novidades tecnológicas

4 – melhorias de performance de ferramentas

5 – melhor triagem antes da coleta de dados

6 – evolução de técnicas de análise

- hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis

- indexação de textos em imagens (OCR); Novos algorítimos de análise

- Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson):

Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV /

OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira /

Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK

Evolução de Técnicas de Análise - Hashes

Uso de Hashes Criptográficos

- Arquivos de Evidência .e01 vs .dd:

- E0x1,L0x1: bzip, AES-256, MD5+SHA1

- arquivos (md5/sha1/sha256):

whitelisting (NIST NSRL / AD KFF)

blacklisting (Bit9, Gargoyle)

- Outros tipos de “Hashing” úteis na Forense:

Fuzzy hashing | File block hash analysis | Entropy

Fuzzy Hashing

- ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net

- FTK 3.x

context triggered piecewise hashes (CTPH)

Hashes - Entropy

File Block Hash Analysis

https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657

Algorítimos de Comparação de Vídeos

Identificação/categorização de vídeos tolerante a mudança de:

• Formato; • Cor; Brilho; Contraste; • Compressão; • Espelhamento; • Cortes; • Distorção; • Mudança de proporção; • Edições (~ 2 seg)

1 – aumento do tamanho das mídias (HDs)

2 – aumento das fontes de dados

3 – novidades tecnológicas

4 – melhorias de performance de ferramentas

5 – melhor triagem antes da coleta de dados

6 – evolução de técnicas de análise

7 – melhorias na taxonomia e compartilhamento de dados

- Taxonomia Incidentes

- Atribuição de Origem (Táticas, Técnicas e Procedimentos)

- Indicadores de Comprometimento - OpenIOC

- Framework de Compartilhamento de dados - VerIS

Avanços Tecnológicos

Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?

Correlação de Milhões de Eventos Diários

Anti Virus

Anti Virus

Bancos de Dados

Applications Applications Applications Applications Applications Applications Applications Applications Applications Aplicações Anti-Virus SO de Servers e

Desktop Equipamentos

De Rede Vulnerability Assessment

Intrusion Detection Systems

Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls/ VPN

Sign-On Sign-On Gerenciamento De Identidade

Serviços de Diretório

Atributos de Usuários

Infraestrutura Física

Processos de Negócio

Mainframes

Correlação de Eventos para apoio à Decisão

T.I/S.I./Fraude/Auditoria/Inteligência

54

Monitoração de Infra-Estruturas Críticas (PLCs)

15/08/2011

55

Inteligência para Investigações e apoio à Decisão

TBS – Time Based Security: Pt ~ Dt + Rt

“Proteção requer detectar um ataque e reagir a

Tempo”.

Proteção = Tempo Detecção + Tempo Reação suficientes

Exposição = Tempo Detecção + Tempo Reação tardios

diagramas: Mike Cloppert – Lockheed Martin

- Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto

- Kill Chain – sequência de eventos para uma ameaça afetar um alvo:

Foco de Atenção: Ênfase na *Ameaça*

Conceito TBS:: Winn Schwartau

Evolução de um Ataque Temporalmente

An

ális

e d

e I

nci

de

nte

s -

TTP

s

Táti

cas,

Té

cnic

as,

e P

roce

dim

en

tos

Mike Cloppert – Lockheed Martin

Indicators of Compromise - OpenIOC

http://www.mandiant.com/uploads/presentations/SOH_052010.pdf

Táticas, Técnicas e Procedimentos

VerIS – Incident Sharing - Framework

http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf

Alguns casos – 2011

Heterogeneidade de Casos:

• EBCDIC 3270 rede (fraude externa)

• Solaris – adm (sabotagem)

• Java boleto (fraude interna)

• Invasão de site / vazamento de dados

• Clipper – (fraude interna)

• MSDOS 16bit - Video poker (Forças da Lei)

• Sistema Web .NET + SQL Server (Fraude Votação)

Maturidade em Investigação Computacional

Desenvolvimento e Integração de Tecnologia

Obrigado!

Sandro Süffert, CTO

Techbiz Forense Digital

http://blog.suffert.com