Análise forense

Objetivos do curso

Obter uma visão geral e conceitos de análise forense

Apresentar os principais procedimentos que devem ser seguidos pelo investigador

Compreender as particularidades do processo de análise forense em Linux e Windows e as informações que devem ser coletadas em cada situação enfrentada

Aprender a coletar evidências em uma imagem de disco de um sistema comprometido

Recuperar evidências que possam fornecer pistas dos invasores

Criar um CD de ferramentas forenses que poderá ser utilizado durante uma investigação

Elaborar uma cronologia, descrevendo o que aconteceu e quando ocorreu cada evento do comprometimento investigado

Conhecer a coleta de informações relacionadas aos programas executados, às bibliotecas do sistema e portas relacionadas

Identificar o tipo de auditoria a ser realizada

Ao final do curso o aluno terá aprendido a

Análise forense

Sessão de aprendizagem 1

Princípios de análise forense

Sumário

Princípios de análise forense

Conceito de análise forense

Motivação

Modo de ação dos atacantes

Tipos de sistemas comprometidos

Procedimentos

Cadeia de custódia de evidências

Metodologia para análise forense

Princípios de análise forense

Resposta a incidentes de segurança

Preparação

Identificação

Contenção

Erradicação

Recuperação

Acompanhamento

Princípios de análise forense

A empresa deve definir o que é um incidente de segurança de acordo com os ativos que deseja proteger.

Incidentes de segurança são eventos que interrompem o procedimento normal de operação de uma empresa e causam algum tipo de crise.

Podem ser ataques à infra-estrutura de informação de

uma empresa.

A prevenção dos incidentes é crucial.

Princípios de análise forense

Análise forense é o segundo passo no processo de resposta a incidentes.

Existe uma sobreposição com o primeiro e com o terceiro passo: o analista forense deve participar do processo de preparação pré-incidente, e também do processo de contenção pós-incidente.

Recuperar e analisar dados da maneira mais imparcial e livre de distorções possível, para reconstruir os dados ou o que aconteceu a um sistema no passado.

Princípios de análise forense

Minimizar perda de dados

Evitar contaminação dos dados

Registrar e documentar todas as ações

Analisar, impreterivelmente, dados em cópias

Reportar as informações coletadas

Principalmente: manter-se imparcial

“É um erro capital teorizar antes de obter todas as evidências.”Sherlock Holmes

Motivações para investigar um incidente

Razões para não investigar um incidente:

Custo

Demora

Falta de objetividade

Disponibilização de recursos importantes

Processo que demanda tempo e recursos, nem sempre útil para a empresa.

É mais fácil reinstalar um computador do que realizar uma investigação.

Motivações para investigar um incidente

Então, por que investigar?

Identificar sinais de ataque

Determinar a extensão do comprometimento

Reconstruir a ordem dos eventos

Entender o modus operandi do atacante

Responder:

O quê?

Quando?

Onde?

Como?

Modo de ação dos atacantes

Informação é a sua maior arma.

Conhecendo o modo de operação dos invasores, você pode melhorar suas defesas; facilita o trabalho de investigação, porque você já sabe o que procurar.

Técnicas de engenharia social são difíceis de combater: somente um treinamento adequado pode diminuir esse risco.

A maior parte dos ataques segue um mesmo padrão.

Modo de ação dos atacantes

Identificação do alvo

Coleta de informações

Identificação de vulnerabilidades

Comprometimento do sistema

Controle do sistema

Instalação de ferramentas

Remoção de rastros

Manutenção do sistema comprometido

Detecção de ataques

Padrão para detectar mais facilmente um ataque :

Monitoramento da rede

Detecção de assinaturas de ataques e modificações

no sistema

Utilização de ferramentas de auditoria

Principalmente, conhecimento de seus sistemas e de

sua rede

Tipos de sistemas comprometidos

Sistema desligado:

Sem atividade no disco rígido

Evidências voláteis perdidas

Sem atividade do invasor

Sem necessidade de contenção do ataque

Possivelmente algumas evidências foram modificadas

Tipos de sistemas comprometidos

Sistema ligado:

Atividade no disco rígido

Atividade de rede

Evidências voláteis

Possibilidade de atividade do invasor

Necessidade de conter o ataque

Modificação das evidências

Tipos de sistemas comprometidos

Sistema ligado:

Verificar se o sistema está comprometido

Não comprometer as evidências

Conter o ataque

Coletar evidências

Power-off ou shutdown?

Power-off: não modifica evidências, mas pode corromper os dados

Shutdown: garante integridade dos dados, mas pode modificar evidências

Procedimentos para análise forense

A reação precisa ser rápida, por isso esteja preparado

Tenha em mãos um checklist de ações e todas as ferramentas necessárias

Esterilize as mídias antes de coletar evidências

Colete primeiro as evidências mais voláteis

Crie e utilize uma dirt list: uma lista de palavras, termos e nomes que podem indicar um comprometimento

Esta lista deve ser utilizada em todo o processo de

investigação e atualizada constantemente

Crie um registro para cada evidência e faça um relatório da sua investigação

Procedimentos para análise forense

Ordem de coleta de evidências:Informações sobre o ambiente (ambiente operacional,

fotos da sala e da tela do computador)

Cópia binária da memória RAM

Informações sobre processos em execução, conexões de

rede, registros, cache etc.

Informações sobre o tráfego de rede

Cópias dos discos rígidos

Possíveis mídias removíveis (fitas, disquetes, CD-ROM)

Material impresso (adesivos, folhas impressas)

Procedimentos para análise forense

Criar registro para cada evidência

Criar assinatura das evidências:MD5

SHA1

SHA256

Evitar comprometer evidências

Criar relatório detalhado da investigação:Comandos executados

Pessoas entrevistadas

Evidências coletadas

Cadeia de custódia de evidências

Registro detalhado do modo como as evidências foram tratadas durante a análise forense, desde a coleta até os resultados finais.

Este registro deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas.

Durante um processo judicial, este registro vai garantir que as provas não foram comprometidas.

Cada evidência coletada deve ter um registro de custódia associada a ela.

Cadeia de custódia de evidências

Um registro de custódia deve conter pelo menos os seguintes itens:

Data e hora de coleta da evidência

De quem a evidência foi apreendida

Informações sobre o hardware, como fabricante, modelo,

números de série etc.

Nome da pessoa que coletou a evidência

Descrição detalhada da evidência

Nome e assinatura das pessoas envolvidas

Identificação do caso e da evidência (tags)

Assinaturas MD5/SHA1 das evidências, se possível

Informações técnicas pertinentes

Metodologia para análise forense

Procedimentos do analista forense são invariáveis

Utilidade de metodologia bem definida

Os passos de uma investigação são cíclicos:

Cada passo alimenta o conjunto de evidências e

fornece novas bases para o investigador procurar

por mais evidências na próxima fase.

Os passos devem ser repetidos até que:

Chegue-se a uma conclusão

Não existam mais informações úteis a encontrar

Metodologia para análise forense

Conclusões

O sucesso da investigação depende de uma preparação prévia

Informação é a melhor arma contra os invasores

Tenha em mãos:

Todas as informações sobre o sistema comprometido

Todas as ferramentas necessárias

Não comprometa as evidências

A cadeia de custódia de evidências garante uma representação fiel dos dados originais

Adote uma metodologia e seja imparcial e preciso em suas ações