01-principios[1]
-
Upload
clayton-santos -
Category
Documents
-
view
212 -
download
0
description
Transcript of 01-principios[1]
Objetivos do curso
Obter uma visão geral e conceitos de análise forense
Apresentar os principais procedimentos que devem ser seguidos pelo investigador
Compreender as particularidades do processo de análise forense em Linux e Windows e as informações que devem ser coletadas em cada situação enfrentada
Aprender a coletar evidências em uma imagem de disco de um sistema comprometido
Recuperar evidências que possam fornecer pistas dos invasores
Criar um CD de ferramentas forenses que poderá ser utilizado durante uma investigação
Elaborar uma cronologia, descrevendo o que aconteceu e quando ocorreu cada evento do comprometimento investigado
Conhecer a coleta de informações relacionadas aos programas executados, às bibliotecas do sistema e portas relacionadas
Identificar o tipo de auditoria a ser realizada
Ao final do curso o aluno terá aprendido a
Sumário
Princípios de análise forense
Conceito de análise forense
Motivação
Modo de ação dos atacantes
Tipos de sistemas comprometidos
Procedimentos
Cadeia de custódia de evidências
Metodologia para análise forense
Princípios de análise forense
Resposta a incidentes de segurança
Preparação
Identificação
Contenção
Erradicação
Recuperação
Acompanhamento
Princípios de análise forense
A empresa deve definir o que é um incidente de segurança de acordo com os ativos que deseja proteger.
Incidentes de segurança são eventos que interrompem o procedimento normal de operação de uma empresa e causam algum tipo de crise.
Podem ser ataques à infra-estrutura de informação de
uma empresa.
A prevenção dos incidentes é crucial.
Princípios de análise forense
Análise forense é o segundo passo no processo de resposta a incidentes.
Existe uma sobreposição com o primeiro e com o terceiro passo: o analista forense deve participar do processo de preparação pré-incidente, e também do processo de contenção pós-incidente.
Recuperar e analisar dados da maneira mais imparcial e livre de distorções possível, para reconstruir os dados ou o que aconteceu a um sistema no passado.
Princípios de análise forense
Minimizar perda de dados
Evitar contaminação dos dados
Registrar e documentar todas as ações
Analisar, impreterivelmente, dados em cópias
Reportar as informações coletadas
Principalmente: manter-se imparcial
“É um erro capital teorizar antes de obter todas as evidências.”Sherlock Holmes
Motivações para investigar um incidente
Razões para não investigar um incidente:
Custo
Demora
Falta de objetividade
Disponibilização de recursos importantes
Processo que demanda tempo e recursos, nem sempre útil para a empresa.
É mais fácil reinstalar um computador do que realizar uma investigação.
Motivações para investigar um incidente
Então, por que investigar?
Identificar sinais de ataque
Determinar a extensão do comprometimento
Reconstruir a ordem dos eventos
Entender o modus operandi do atacante
Responder:
O quê?
Quando?
Onde?
Como?
Modo de ação dos atacantes
Informação é a sua maior arma.
Conhecendo o modo de operação dos invasores, você pode melhorar suas defesas; facilita o trabalho de investigação, porque você já sabe o que procurar.
Técnicas de engenharia social são difíceis de combater: somente um treinamento adequado pode diminuir esse risco.
A maior parte dos ataques segue um mesmo padrão.
Modo de ação dos atacantes
Identificação do alvo
Coleta de informações
Identificação de vulnerabilidades
Comprometimento do sistema
Controle do sistema
Instalação de ferramentas
Remoção de rastros
Manutenção do sistema comprometido
Detecção de ataques
Padrão para detectar mais facilmente um ataque :
Monitoramento da rede
Detecção de assinaturas de ataques e modificações
no sistema
Utilização de ferramentas de auditoria
Principalmente, conhecimento de seus sistemas e de
sua rede
Tipos de sistemas comprometidos
Sistema desligado:
Sem atividade no disco rígido
Evidências voláteis perdidas
Sem atividade do invasor
Sem necessidade de contenção do ataque
Possivelmente algumas evidências foram modificadas
Tipos de sistemas comprometidos
Sistema ligado:
Atividade no disco rígido
Atividade de rede
Evidências voláteis
Possibilidade de atividade do invasor
Necessidade de conter o ataque
Modificação das evidências
Tipos de sistemas comprometidos
Sistema ligado:
Verificar se o sistema está comprometido
Não comprometer as evidências
Conter o ataque
Coletar evidências
Power-off ou shutdown?
Power-off: não modifica evidências, mas pode corromper os dados
Shutdown: garante integridade dos dados, mas pode modificar evidências
Procedimentos para análise forense
A reação precisa ser rápida, por isso esteja preparado
Tenha em mãos um checklist de ações e todas as ferramentas necessárias
Esterilize as mídias antes de coletar evidências
Colete primeiro as evidências mais voláteis
Crie e utilize uma dirt list: uma lista de palavras, termos e nomes que podem indicar um comprometimento
Esta lista deve ser utilizada em todo o processo de
investigação e atualizada constantemente
Crie um registro para cada evidência e faça um relatório da sua investigação
Procedimentos para análise forense
Ordem de coleta de evidências:Informações sobre o ambiente (ambiente operacional,
fotos da sala e da tela do computador)
Cópia binária da memória RAM
Informações sobre processos em execução, conexões de
rede, registros, cache etc.
Informações sobre o tráfego de rede
Cópias dos discos rígidos
Possíveis mídias removíveis (fitas, disquetes, CD-ROM)
Material impresso (adesivos, folhas impressas)
Procedimentos para análise forense
Criar registro para cada evidência
Criar assinatura das evidências:MD5
SHA1
SHA256
Evitar comprometer evidências
Criar relatório detalhado da investigação:Comandos executados
Pessoas entrevistadas
Evidências coletadas
Cadeia de custódia de evidências
Registro detalhado do modo como as evidências foram tratadas durante a análise forense, desde a coleta até os resultados finais.
Este registro deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas.
Durante um processo judicial, este registro vai garantir que as provas não foram comprometidas.
Cada evidência coletada deve ter um registro de custódia associada a ela.
Cadeia de custódia de evidências
Um registro de custódia deve conter pelo menos os seguintes itens:
Data e hora de coleta da evidência
De quem a evidência foi apreendida
Informações sobre o hardware, como fabricante, modelo,
números de série etc.
Nome da pessoa que coletou a evidência
Descrição detalhada da evidência
Nome e assinatura das pessoas envolvidas
Identificação do caso e da evidência (tags)
Assinaturas MD5/SHA1 das evidências, se possível
Informações técnicas pertinentes
Metodologia para análise forense
Procedimentos do analista forense são invariáveis
Utilidade de metodologia bem definida
Os passos de uma investigação são cíclicos:
Cada passo alimenta o conjunto de evidências e
fornece novas bases para o investigador procurar
por mais evidências na próxima fase.
Os passos devem ser repetidos até que:
Chegue-se a uma conclusão
Não existam mais informações úteis a encontrar
Conclusões
O sucesso da investigação depende de uma preparação prévia
Informação é a melhor arma contra os invasores
Tenha em mãos:
Todas as informações sobre o sistema comprometido
Todas as ferramentas necessárias
Não comprometa as evidências
A cadeia de custódia de evidências garante uma representação fiel dos dados originais
Adote uma metodologia e seja imparcial e preciso em suas ações