Apresentação SegInfo

64
Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süffert http://blog.suffert.com
  • date post

    19-Oct-2014
  • Category

    Technology

  • view

    1.186
  • download

    0

description

Sandro Suffert marcou presença na sexta edição do Workshop de Segurança da Informação - Seginfo, no Centro de Convenções da Bolsa de Valores do Rio de Janeiro. O evento tem abordagem acadêmica, técnica e empresarial e trata de assuntos técnico-científico, jurídico e social. Palestras, debates, jogos e dinâmicas abordaram a segurança da informação nos seus mais variados aspectos, de técnico a social.

Transcript of Apresentação SegInfo

Page 1: Apresentação SegInfo

Desafios em Computação Forense e Resposta a Incidentes de Segurança

Sandro Süffert

http://blog.suffert.com

Page 2: Apresentação SegInfo

Mobile  Forensics  

Equipamentos  de  Laboratórios  de  Perícia    Computação  Forense  é  só  isto?  

Bloqueadores  de  Escrita  

Duplicadores  de  Mídias      

Softwares  de    Análise  Pericial  Armazenamento  Portátil    

Aquisição  em  campo      

Computadores    Especializados  

Page 3: Apresentação SegInfo

Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital:

Perícia  Criminal   Segurança  da  Inf.  

Anti-­‐Fraude  

Jurídico  

Auditoria  

Inteligência  

Defesa  Cibernética  

Fiscalização  

Compliance  

Page 4: Apresentação SegInfo

Algumas modalidades de Forense Computacional

Forense  Post-­‐Mortem  

HDs,  CDs,  Pen-­‐Drives,  Disquetes,  etc  Telefones,  GPS,  Tablets,  etc  

Forense  de  Rede  Redes  Cabeadas  Redes  Sem  Fio  Reconstrução  de  Sessões  Geração  de  Metadados    

Forense  Remota  Conexão  online  Silenciosa  Stealth  Capacidade  de  obtenção  de  dados  voláteis  Possibilidade  de  Remediação  

Forense  Colaborativa  Múltiplas  Investigações    Múltiplos  Investigadores  Interface  de  Investigação  Amigável  Grupo  Especialista  

Page 5: Apresentação SegInfo

Objetivos

INCIDENTE

Agente Resultado não autorizado

ATAQUE / VIOLAÇÃO

Ferramentas Falha Alvo

EVENTO

Ação

Taxonomia:  Evento>Ataque>Incidente>Crime  

Crime

Page 6: Apresentação SegInfo

Agente    

Ferramentas  

Falha   Ação  

Ataque Físico Hackers

Espiões

Terroristas

Vândalos

Voyeurs

Mercenários

Troca de Inf.

Eng. Social

Programas

Toolkit

Interceptação

Ataque Distribuido

Design

Implementação

Configuração

Probe  

Scan  

Flood  

Autenticação

Bypass  

Spoof  

Leitura

Cópia

Roubo

Modificação

Remoção

Funcionários

Alvo   Resultado    não  autorizado   Objetivos  

Aumento níveis

de acesso

Contas

Processos

Dados

Computadores

Redes Locais

Redes WAN

Obtenção informação confidencial Corrupção de informação

Negação de Serviço

Roubo de Recursos

 Ganho    

Financeiro  

Ganho Político

Dano

Desafio, status

John  D.  Howard  e  Thomas  A.  Longstaff  

A  Common   Language   for  Computer   Security   Incidents  

http://www.cert.org/research/taxonomy_988667.pdf    

Central Telefônica

Dinâmicas  de    

Page 7: Apresentação SegInfo

Atribuição  de  Autoria/Responsabilidade      Muito  além  da  identificação  de  endereços   IP  

1)Timing,  2)  Vítimas/Alvos,  3)  Origem,  4)  Mecanismo  de  Entrada,  5)  Vulnerabilidade  ou  Exposição,  6)  Exploit  ou  Payload,  7)  Weaponization,  8)  Atividade  pós-­‐exploração,  9)  Método  de  Comando  e  Controle,  10)  Servidores  de  Comando  e  Controle,    

11)  Ferramentas,  12)  Mecanismo  de  Persistência,  13)  Método  de  Propagação,  14)  Dados  Alvo,  15)  Compactação  de  Dados,  16)  Modo  de  Extrafiltração,  17)  Atribuição  Externa,  18)  Grau  de  Profissionalismo,    19)  Variedade  de  Técnicas  utilizadas,    20)  Escopo  

Identificação  das  consequências  do  ataque  pode  ser  mais  fácil  que  detectar  o  ataque  

(R.  Beitlich,  M.  Cloppert)  

Agente

Page 8: Apresentação SegInfo

Diferentes  Níveis  de  Importância  Estratégica  Diferentes  Categorias  de  Agentes  e  Objetivos  

diagrama:  -­  David  Ross    GFIRST/Mandiant  

Page 9: Apresentação SegInfo

Processos de Investigação Digital

Page 10: Apresentação SegInfo

Exemplo  de  Processo  de  Investigação    

Page 11: Apresentação SegInfo

CheckList de Abertura Requisitar Autorização Designar responsáveis

Preservação e Coleta Acompanhamento

Efetuar

Inventário Enviar para Análise

Page 12: Apresentação SegInfo

Tratamento  >  Coleta  Presencial  

Page 13: Apresentação SegInfo

Tratamento  >  Coleta  Presencial  

Page 14: Apresentação SegInfo

Tratamento  >  Coleta  Presencial  

PADRONIZAR o processamento, gerando CONTROLE MINIMIZAR ao máximo a PERDA de dados

EVITAR a CONTAMINAÇÃO de dados / informações

Page 15: Apresentação SegInfo

Tratamento  >  Coleta  Remota  

Page 16: Apresentação SegInfo

INFORMAÇÃO  sobre  as  FERRAMENTAS   utilizadas    INFORMAÇÕES  sobre  a  REDE  

 

INFORMAÇÕES  sobre  a  AQUISIÇÃO    INFORMAÇÕES  sobre  ARQUIVAMENTO    

Page 17: Apresentação SegInfo

Processos Forenses

Processo de Investigação

Tratamento Análise RelatórioTriagem

Detecção

Notificação

Encerramento

Autorizado?[Não]

[Sim]

RequisiçãoForense

Definir o que coletar

Coleta Remota

Inventariar

FORM01 - Autorização

FORM02 - Questionário

FORM07

Requisitar Autorização

FORM10 FORM11

Renegociar Requisição

Remoto?

[Sim]

Processo de Coleta Presencial[Não]

IniciarAnálise

Checklist de Abertura de Caso

FORM06 FORM-CAC

Mais Evidências a

coletar?

[Não]

[Sim]Novos Alvos

Identificados?

[Não]

[Sim]

Iniciar Análise

Dados Suficientes?

Reiniciar Tratamento [Não]

[Sim]

Processos de Análise

Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?

Utilizar os processos de análise para obter as respostas

Análise de Emails

Análise de Documentos

Análise de Artefatos Web

Análise de Artefatos de SO

Recuperação de Arquivos Apagados

Análise de Hash

Comparação de Baseline

FORM05 Notas de Lab.

Existe Informação Incriminante fora do

escopo inicial?[Sim]Abrir uma Nova

Investigação

[Não]

Requisitar Informações

[Sim]

Se obtidas, analisar relevância dos dados

levantados e relacionamento com

dados atuais

Preparar Relatório

Informações Suficientes para Concluir?

[Sim]

[Não][Não]

Outras Análises Específicas

NecessárioInformações fora das permissões diretas do

investigador?

Arquivar Documentação na

Pasta do Caso

Encerramento

Preencher ficha de acompanhamento

gerencial

Registrar/Comunicar o Término do caso

Necessário Acionar Autoridades Externas?

[Não]

Enviar Informações para Autoridades[Sim] Aguardar

Instruções

Sanitizar mídias de armazenamento

temporário (trabalho)

Arquivar mídias de armazenamento longo (originais/cópias backup)

Fim daInvestigação

Page 18: Apresentação SegInfo

   

Resposta  a  Incidentes  e  Forense  Computacional    Abordagem  Híbrida  

Page 19: Apresentação SegInfo

Cyber  Segurança    uma  crise  de  priorização  

NCO/NITRD   National  Coordination  Office  /  Networking  and  Information  Technology  Research  and  Development  

Page 20: Apresentação SegInfo

Priorizações  Recomendadas  pelo  Comitê  de  T.I.  do  Gov.  Americano  

NCO/NITRD.GOV  -­  Cyber  Security  A  Crisis  of  Prioritization:  pg  43  

Page 21: Apresentação SegInfo
Page 22: Apresentação SegInfo

Pessoas:  A  crise  de  capital  humano  em  CiberSegurança  

Page 23: Apresentação SegInfo

1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise 7 melhorias na taxonomia e compartilhamento de dados

Alguns Desafios em Perícia Computacional e Resposta a Incidentes

Page 24: Apresentação SegInfo

1 aumento do tamanho das mídias (HDs) a serem analisadas: -‐ Lei de Moore -‐> número de transistores de chips dobram a cada 18 meses -‐ Lei de Kryder -‐> discos rígidos dobram de tamanho a cada 18 a 24 meses -‐ velocidade de acesso à disco (I/O) não cresce tão rapidamente.. -‐ maioria dos hds possuem mais de um milhão de itens -‐ indexação, carving, análise de assinatura

Desafios Tecnológicos

Page 25: Apresentação SegInfo

1 aumento do tamanho das mídias (HDs)

Fonte:  Han-­‐Kwang   Nienhuys    http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg  

Page 26: Apresentação SegInfo

1 aumento do tamanho das mídias (HDs)

   Discos:  aumento  de  +576%.  Estações  de  Trabalho:  +29,7%  

PDA/Blackberry/Assemelhados:  +859%    

Page 27: Apresentação SegInfo

Motivadores de Avanços Tecnológicos

1 aumento do tamanho das mídias (HDs)

2 aumento das fontes de dados a serem analisadas: -‐ Análise de discos de Estado Sólido (SSD) -‐ Análise de mídias removíveis -‐ Análise de computadores remotos -‐ Análise de memória -‐ Análise de sessões de rede -‐ Análise de registros/logs/BD -‐ Análise de dispositivos móveis (celulares, tablets, gps) -‐ outros: ebook readers, mp3 players, GPS,video-‐games, TVs, ...

Page 28: Apresentação SegInfo

2 aumento das fontes de dados

HD:       Bit     Byte       Setor       Cluster         Arquivo       1   8bits   512B   8  setores  /  4kb   1-­‐n  clusters  

    +    d    a    d    o    s                                                                      +    c    o    m    p    l    e    x    i    d    a    d    e  

Memória:     Bit     Byte     Página        Thread       Processo         1   8bits    4kB      n  páginas     n  threads  

 

Rede:       Bit   Byte     Pacote       Stream     Sessão         1   8bits    n  bytes   n  pacotes     n  streams  

 

Page 29: Apresentação SegInfo

Outras Fontes de Dados: Análise de Memória ex 1 (pdgmail.py)

Page 30: Apresentação SegInfo

Outras Fontes de Dados: Análise de Memória ex 2 (Ftk 3.x)

Page 31: Apresentação SegInfo

Outras Fontes de Dados: Análise de Memória ex 3 (HBGary Responder)

Page 32: Apresentação SegInfo

Outras Fontes de Dados Análise de Sessões de Rede

Page 33: Apresentação SegInfo

Outras Fontes de Dados Análise de Sessões de Rede ex. 4

Page 34: Apresentação SegInfo

Motivadores de Avanços Tecnológicos

1 aumento do tamanho das mídias (HDs) a serem analisadas: 2 aumento das fontes de dados a serem analisadas:

3 necessidade de adequação diante de novidades tecnológicas

-‐ Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. -‐ Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) -‐ Mobile Forensics ex: variedade de S.Os, aplicações e conectividade -‐ Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..

Page 35: Apresentação SegInfo

Novidades Tecnológicas: Novos sistemas operacionais ex 1 (Win 7)

Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Windows XP UserAssist: Cifra -‐ ROT13 (A-‐>N, B-‐>O, ...) Inicia o contador em 5. Windows 7/2008 beta UserAssist: Cifra Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 UserAssist: Cifra ROT13 / inicia o contador em 0.

Page 36: Apresentação SegInfo

Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) -‐ até ext3 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 lançado em 25 de dezembro de 2008, estende timestamps para

nanoseg (10-‐9) e + 2 bits foram adicionados ao campo dos segundos do

Suporte completo a ext4: FTK 3.3 e Encase 7

Novidades Tecnológicas: Novos sistemas de arquivo ex 2 (ext4)

Page 37: Apresentação SegInfo

1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas

4 melhorias de performance de ferramentas: -‐ Uso de Banco de Dados como BackEnd: ECC -‐ MSSQL/ FTK 3.x Oracle -‐ Aquisição Remota: dados voláteis, memória, discos, artefatos específicos -‐ Processamento Distribuído: DNA -‐> FTK 3.x -‐> AD LAB -‐ Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) -‐ Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)

Motivadores de Avanços Tecnológicos

Page 38: Apresentação SegInfo

4 -‐ Melhoria de Performance BackEnd Oracle / Processamento Distribuído AD

LAB

Page 39: Apresentação SegInfo

4 -‐ Melhoria de Performance CriptoAnálise FRED-‐SC + EDPR -‐ CUDA

Page 40: Apresentação SegInfo

Avanços Tecnológicos -‐ Triagem

1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas 4 melhorias de performance de ferramentas:

5 melhor triagem antes da coleta de dados

-‐ Remota FTK 3.x/AD Enterprise, Encase FIM/Platform -‐ Na ponta Encase Portable -‐ Conceito: Arquivos de evidência lógica (LEF/L01, AD1)

Page 41: Apresentação SegInfo

Dongle / (Security key) 4-­Port USB Hub

EnCase Portable USB 4GB

PenDrive/Disco 1 Gb-­ > 2Tb

5 Melhoria na Triagem: ex 1 em campo

Page 42: Apresentação SegInfo

5 Melhoria na Triagem: ex 2 em campo

Page 43: Apresentação SegInfo

Servlets Installed on Computers

5 Melhoria na Triagem: ex 3 remota

Page 44: Apresentação SegInfo

Forense Remota / Remediação

Auditoria   Logical  Evidence  File  

ResultLog  

Quem? Quando? Onde?

Garantia de integridade

Materialização de prova Tamanho reduzido

Existência ou não de arquivos responsivos

Page 45: Apresentação SegInfo

Avanços Tecnológicos

1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados

6 evolução de técnicas de análise -‐ hashing: MD5/SHA1 -‐> ssdeep/fuzzy -‐> entropy -‐> file block hash analysis -‐ indexação de textos em imagens (OCR); Novos algorítimos de análise -‐ Super Timelines (Enscripts + log2timeline Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK

Page 46: Apresentação SegInfo

Evolução de Técnicas de Análise -‐ Hashes

Uso de Hashes Criptográficos -‐ Arquivos de Evidência .e01 vs .dd: -‐ E0x1,L0x1: bzip, AES-‐256, MD5+SHA1 -‐ arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) -‐ : Fuzzy hashing | File block hash analysis | Entropy

Page 47: Apresentação SegInfo

Fuzzy Hashing

-‐ ssdeep Jesse Kornblum -‐ http://ssdeep.sourceforge.net

-‐ FTK 3.x

context triggered piecewise hashes (CTPH)

Page 48: Apresentação SegInfo

Hashes -‐ Entropy

Page 49: Apresentação SegInfo

File Block Hash Analysis

https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657    

Page 50: Apresentação SegInfo

Algorítimos de Comparação de Vídeos

Identificação/categorização  de  vídeos  tolerante  a  mudança  de:    

 Formato;  Cor;  Brilho;  Contraste;  Compressão;    Espelhamento;  Cortes;  Distorção;  Mudança  de  proporção;  Edições  (~  2  seg)  

 

Page 51: Apresentação SegInfo

1 aumento do tamanho das mídias (HDs) 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise

7 melhorias na taxonomia e compartilhamento de dados -‐ Taxonomia Incidentes -‐ Atribuição de Origem (Táticas, Técnicas e Procedimentos) -‐ Indicadores de Comprometimento -‐ OpenIOC -‐ Framework de Compartilhamento de dados -‐ VerIS

Avanços Tecnológicos

Page 52: Apresentação SegInfo

Utilização do compartilhamento de dados Análise de Sessões de Rede ex. ?

Page 53: Apresentação SegInfo

Correlação  de  Milhões  de  Eventos  Diários  

Anti Virus Anti Virus Bancos de Dados

Applications Applications Applications Applications Applications Applications Applications Applications Applications Aplicações Anti-Virus SO de Servers e Desktop

Equipamentos De Rede

Vulnerability Assessment

Intrusion Detection Systems

Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls/ VPN

Sign-On Sign-On Gerenciamento De Identidade

Serviços de Diretório

Atributos de Usuários

Infraestrutura Física

Processos de Negócio Mainframes

Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência

Page 54: Apresentação SegInfo

54  

Monitoração de Infra-‐Estruturas Críticas (PLCs)

Page 55: Apresentação SegInfo

15/08/2011  

55  

Inteligência para Investigações e apoio à Decisão

Page 56: Apresentação SegInfo

TBS    Time  Based  Security:  Pt  ~  Dt  +  Rt  

 

 

Proteção  =  Tempo  Detecção  +  Tempo  Reação  suficientes  

Exposição  =  Tempo  Detecção  +  Tempo  Reação  tardios  

 

diagramas:  Mike  Cloppert    Lockheed  Martin  

-­‐ Fórmula  Tradicional  de  Risco  =  Ameaça  x  Vulnerabilidade  x  Impacto  

-­‐ Kill  Chain    sequência  de  eventos  para  uma  ameaça  afetar  um  alvo:  

Foco  de  Atenção:  Ênfase  na  *Ameaça*  

Conceito  TBS::  Winn  Schwartau  

Page 57: Apresentação SegInfo

Evolução  de  um  Ataque  Temporalmente  

Page 58: Apresentação SegInfo

Análise  de

 Incide

ntes  -­‐  TTPs    

Táticas,  Técnicas,  e  Procedimen

tos  

Mike  Cloppert    Lockheed  Martin  

Page 59: Apresentação SegInfo

Indicators  of  Compromise  -­‐  OpenIOC  

http://www.mandiant.com/uploads/presentations/SOH_052010.pdf  

Page 60: Apresentação SegInfo

Táticas, Técnicas e Procedimentos VerIS Incident Sharing -‐ Framework

http://securityblog.verizonbusiness.com/wp-­‐content/uploads/2010/03/VerIS_Framework_Beta_1.pdf  

Page 61: Apresentação SegInfo

Alguns casos 2011

Heterogeneidade de Casos: EBCDIC 3270 rede (fraude externa) Solaris adm (sabotagem) Java boleto (fraude interna) Invasão de site / vazamento de dados Clipper (fraude interna) MSDOS 16bit -‐ Video poker (Forças da Lei) Sistema Web .NET + SQL Server (Fraude Votação)

Page 62: Apresentação SegInfo

Maturidade em Investigação Computacional

Page 63: Apresentação SegInfo

Desenvolvimento e Integração de Tecnologia

Page 64: Apresentação SegInfo

Obrigado!

Sandro Süffert, CTO Techbiz Forense Digital

http://blog.suffert.com