Apresentação SegInfo
of 64
/64
-
date post
19-Oct-2014 -
Category
Technology
-
view
1.182 -
download
0
Embed Size (px)
description
Sandro Suffert marcou presença na sexta edição do Workshop de Segurança da Informação - Seginfo, no Centro de Convenções da Bolsa de Valores do Rio de Janeiro. O evento tem abordagem acadêmica, técnica e empresarial e trata de assuntos técnico-científico, jurídico e social. Palestras, debates, jogos e dinâmicas abordaram a segurança da informação nos seus mais variados aspectos, de técnico a social.
Transcript of Apresentação SegInfo
Desafios em Computação Forense e Resposta a Incidentes de Segurança
Sandro Süffert
http://blog.suffert.com
Mobile Forensics
Equipamentos de Laboratórios de Perícia Computação Forense é só isto?
Bloqueadores de Escrita
Duplicadores de Mídias
Softwares de Análise Pericial Armazenamento Portátil
Aquisição em campo
Computadores Especializados
Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital:
Perícia Criminal Segurança da Inf.
Anti-‐Fraude
Jurídico
Auditoria
Inteligência
Defesa Cibernética
Fiscalização
Compliance
Algumas modalidades de Forense Computacional
Forense Post-‐Mortem
HDs, CDs, Pen-‐Drives, Disquetes, etc Telefones, GPS, Tablets, etc
Forense de Rede Redes Cabeadas Redes Sem Fio Reconstrução de Sessões Geração de Metadados
Forense Remota Conexão online Silenciosa Stealth Capacidade de obtenção de dados voláteis Possibilidade de Remediação
Forense Colaborativa Múltiplas Investigações Múltiplos Investigadores Interface de Investigação Amigável Grupo Especialista
Objetivos
INCIDENTE
Agente Resultado não autorizado
ATAQUE / VIOLAÇÃO
Ferramentas Falha Alvo
EVENTO
Ação
Taxonomia: Evento>Ataque>Incidente>Crime
Crime
Agente
Ferramentas
Falha Ação
Ataque Físico Hackers
Espiões
Terroristas
Vândalos
Voyeurs
Mercenários
Troca de Inf.
Eng. Social
Programas
Toolkit
Interceptação
Ataque Distribuido
Design
Implementação
Configuração
Probe
Scan
Flood
Autenticação
Bypass
Spoof
Leitura
Cópia
Roubo
Modificação
Remoção
Funcionários
Alvo Resultado não autorizado Objetivos
Aumento níveis
de acesso
Contas
Processos
Dados
Computadores
Redes Locais
Redes WAN
Obtenção informação confidencial Corrupção de informação
Negação de Serviço
Roubo de Recursos
Ganho
Financeiro
Ganho Político
Dano
Desafio, status
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf
Central Telefônica
Dinâmicas de
Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP
1)Timing, 2) Vítimas/Alvos, 3) Origem, 4) Mecanismo de Entrada, 5) Vulnerabilidade ou Exposição, 6) Exploit ou Payload, 7) Weaponization, 8) Atividade pós-‐exploração, 9) Método de Comando e Controle, 10) Servidores de Comando e Controle,
11) Ferramentas, 12) Mecanismo de Persistência, 13) Método de Propagação, 14) Dados Alvo, 15) Compactação de Dados, 16) Modo de Extrafiltração, 17) Atribuição Externa, 18) Grau de Profissionalismo, 19) Variedade de Técnicas utilizadas, 20) Escopo
Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
(R. Beitlich, M. Cloppert)
Agente
Diferentes Níveis de Importância Estratégica Diferentes Categorias de Agentes e Objetivos
diagrama: - David Ross GFIRST/Mandiant
Processos de Investigação Digital
Exemplo de Processo de Investigação
CheckList de Abertura Requisitar Autorização Designar responsáveis
Preservação e Coleta Acompanhamento
Efetuar
Inventário Enviar para Análise
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
PADRONIZAR o processamento, gerando CONTROLE MINIMIZAR ao máximo a PERDA de dados
EVITAR a CONTAMINAÇÃO de dados / informações
Tratamento > Coleta Remota
INFORMAÇÃO sobre as FERRAMENTAS utilizadas INFORMAÇÕES sobre a REDE
INFORMAÇÕES sobre a AQUISIÇÃO INFORMAÇÕES sobre ARQUIVAMENTO
Processos Forenses
Processo de Investigação
Tratamento Análise RelatórioTriagem
Detecção
Notificação
Encerramento
Autorizado?[Não]
[Sim]
RequisiçãoForense
Definir o que coletar
Coleta Remota
Inventariar
FORM01 - Autorização
FORM02 - Questionário
FORM07
Requisitar Autorização
FORM10 FORM11
Renegociar Requisição
Remoto?
[Sim]
Processo de Coleta Presencial[Não]
IniciarAnálise
Checklist de Abertura de Caso
FORM06 FORM-CAC
Mais Evidências a
coletar?
[Não]
[Sim]Novos Alvos
Identificados?
[Não]
[Sim]
Iniciar Análise
Dados Suficientes?
Reiniciar Tratamento [Não]
[Sim]
Processos de Análise
Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?
Utilizar os processos de análise para obter as respostas
Análise de Emails
Análise de Documentos
Análise de Artefatos Web
Análise de Artefatos de SO
Recuperação de Arquivos Apagados
Análise de Hash
Comparação de Baseline
FORM05 Notas de Lab.
Existe Informação Incriminante fora do
escopo inicial?[Sim]Abrir uma Nova
Investigação
[Não]
Requisitar Informações
[Sim]
Se obtidas, analisar relevância dos dados
levantados e relacionamento com
dados atuais
Preparar Relatório
Informações Suficientes para Concluir?
[Sim]
[Não][Não]
Outras Análises Específicas
NecessárioInformações fora das permissões diretas do
investigador?
Arquivar Documentação na
Pasta do Caso
Encerramento
Preencher ficha de acompanhamento
gerencial
Registrar/Comunicar o Término do caso
Necessário Acionar Autoridades Externas?
[Não]
Enviar Informações para Autoridades[Sim] Aguardar
Instruções
Sanitizar mídias de armazenamento
temporário (trabalho)
Arquivar mídias de armazenamento longo (originais/cópias backup)
Fim daInvestigação
Resposta a Incidentes e Forense Computacional Abordagem Híbrida
Cyber Segurança uma crise de priorização
NCO/NITRD National Coordination Office / Networking and Information Technology Research and Development
Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano
NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
Pessoas: A crise de capital humano em CiberSegurança
1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise 7 melhorias na taxonomia e compartilhamento de dados
Alguns Desafios em Perícia Computacional e Resposta a Incidentes
1 aumento do tamanho das mídias (HDs) a serem analisadas: -‐ Lei de Moore -‐> número de transistores de chips dobram a cada 18 meses -‐ Lei de Kryder -‐> discos rígidos dobram de tamanho a cada 18 a 24 meses -‐ velocidade de acesso à disco (I/O) não cresce tão rapidamente.. -‐ maioria dos hds possuem mais de um milhão de itens -‐ indexação, carving, análise de assinatura
Desafios Tecnológicos
1 aumento do tamanho das mídias (HDs)
Fonte: Han-‐Kwang Nienhuys http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
1 aumento do tamanho das mídias (HDs)
Discos: aumento de +576%. Estações de Trabalho: +29,7%
PDA/Blackberry/Assemelhados: +859%
Motivadores de Avanços Tecnológicos
1 aumento do tamanho das mídias (HDs)
2 aumento das fontes de dados a serem analisadas: -‐ Análise de discos de Estado Sólido (SSD) -‐ Análise de mídias removíveis -‐ Análise de computadores remotos -‐ Análise de memória -‐ Análise de sessões de rede -‐ Análise de registros/logs/BD -‐ Análise de dispositivos móveis (celulares, tablets, gps) -‐ outros: ebook readers, mp3 players, GPS,video-‐games, TVs, ...
2 aumento das fontes de dados
HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-‐n clusters
+ d a d o s + c o m p l e x i d a d e
Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Outras Fontes de Dados: Análise de Memória ex 1 (pdgmail.py)
Outras Fontes de Dados: Análise de Memória ex 2 (Ftk 3.x)
Outras Fontes de Dados: Análise de Memória ex 3 (HBGary Responder)
Outras Fontes de Dados Análise de Sessões de Rede
Outras Fontes de Dados Análise de Sessões de Rede ex. 4
Motivadores de Avanços Tecnológicos
1 aumento do tamanho das mídias (HDs) a serem analisadas: 2 aumento das fontes de dados a serem analisadas:
3 necessidade de adequação diante de novidades tecnológicas
-‐ Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. -‐ Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) -‐ Mobile Forensics ex: variedade de S.Os, aplicações e conectividade -‐ Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnológicas: Novos sistemas operacionais ex 1 (Win 7)
Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Windows XP UserAssist: Cifra -‐ ROT13 (A-‐>N, B-‐>O, ...) Inicia o contador em 5. Windows 7/2008 beta UserAssist: Cifra Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 UserAssist: Cifra ROT13 / inicia o contador em 0.
Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) -‐ até ext3 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 lançado em 25 de dezembro de 2008, estende timestamps para
nanoseg (10-‐9) e + 2 bits foram adicionados ao campo dos segundos do
Suporte completo a ext4: FTK 3.3 e Encase 7
Novidades Tecnológicas: Novos sistemas de arquivo ex 2 (ext4)
1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas
4 melhorias de performance de ferramentas: -‐ Uso de Banco de Dados como BackEnd: ECC -‐ MSSQL/ FTK 3.x Oracle -‐ Aquisição Remota: dados voláteis, memória, discos, artefatos específicos -‐ Processamento Distribuído: DNA -‐> FTK 3.x -‐> AD LAB -‐ Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) -‐ Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
Motivadores de Avanços Tecnológicos
4 -‐ Melhoria de Performance BackEnd Oracle / Processamento Distribuído AD
LAB
4 -‐ Melhoria de Performance CriptoAnálise FRED-‐SC + EDPR -‐ CUDA
Avanços Tecnológicos -‐ Triagem
1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas 4 melhorias de performance de ferramentas:
5 melhor triagem antes da coleta de dados
-‐ Remota FTK 3.x/AD Enterprise, Encase FIM/Platform -‐ Na ponta Encase Portable -‐ Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
Dongle / (Security key) 4-Port USB Hub
EnCase Portable USB 4GB
PenDrive/Disco 1 Gb- > 2Tb
5 Melhoria na Triagem: ex 1 em campo
5 Melhoria na Triagem: ex 2 em campo
Servlets Installed on Computers
5 Melhoria na Triagem: ex 3 remota
Forense Remota / Remediação
Auditoria Logical Evidence File
ResultLog
Quem? Quando? Onde?
Garantia de integridade
Materialização de prova Tamanho reduzido
Existência ou não de arquivos responsivos
Avanços Tecnológicos
1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados
6 evolução de técnicas de análise -‐ hashing: MD5/SHA1 -‐> ssdeep/fuzzy -‐> entropy -‐> file block hash analysis -‐ indexação de textos em imagens (OCR); Novos algorítimos de análise -‐ Super Timelines (Enscripts + log2timeline Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
Evolução de Técnicas de Análise -‐ Hashes
Uso de Hashes Criptográficos -‐ Arquivos de Evidência .e01 vs .dd: -‐ E0x1,L0x1: bzip, AES-‐256, MD5+SHA1 -‐ arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) -‐ : Fuzzy hashing | File block hash analysis | Entropy
Fuzzy Hashing
-‐ ssdeep Jesse Kornblum -‐ http://ssdeep.sourceforge.net
-‐ FTK 3.x
context triggered piecewise hashes (CTPH)
Hashes -‐ Entropy
File Block Hash Analysis
https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
Algorítimos de Comparação de Vídeos
Identificação/categorização de vídeos tolerante a mudança de:
Formato; Cor; Brilho; Contraste; Compressão; Espelhamento; Cortes; Distorção; Mudança de proporção; Edições (~ 2 seg)
1 aumento do tamanho das mídias (HDs) 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise
7 melhorias na taxonomia e compartilhamento de dados -‐ Taxonomia Incidentes -‐ Atribuição de Origem (Táticas, Técnicas e Procedimentos) -‐ Indicadores de Comprometimento -‐ OpenIOC -‐ Framework de Compartilhamento de dados -‐ VerIS
Avanços Tecnológicos
Utilização do compartilhamento de dados Análise de Sessões de Rede ex. ?
Correlação de Milhões de Eventos Diários
Anti Virus Anti Virus Bancos de Dados
Applications Applications Applications Applications Applications Applications Applications Applications Applications Aplicações Anti-Virus SO de Servers e Desktop
Equipamentos De Rede
Vulnerability Assessment
Intrusion Detection Systems
Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls/ VPN
Sign-On Sign-On Gerenciamento De Identidade
Serviços de Diretório
Atributos de Usuários
Infraestrutura Física
Processos de Negócio Mainframes
Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência
54
Monitoração de Infra-‐Estruturas Críticas (PLCs)
15/08/2011
55
Inteligência para Investigações e apoio à Decisão
TBS Time Based Security: Pt ~ Dt + Rt
Proteção = Tempo Detecção + Tempo Reação suficientes
Exposição = Tempo Detecção + Tempo Reação tardios
diagramas: Mike Cloppert Lockheed Martin
-‐ Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto
-‐ Kill Chain sequência de eventos para uma ameaça afetar um alvo:
Foco de Atenção: Ênfase na *Ameaça*
Conceito TBS:: Winn Schwartau
Evolução de um Ataque Temporalmente
Análise de
Incide
ntes -‐ TTPs
Táticas, Técnicas, e Procedimen
tos
Mike Cloppert Lockheed Martin
Indicators of Compromise -‐ OpenIOC
http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Táticas, Técnicas e Procedimentos VerIS Incident Sharing -‐ Framework
http://securityblog.verizonbusiness.com/wp-‐content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
Alguns casos 2011
Heterogeneidade de Casos: EBCDIC 3270 rede (fraude externa) Solaris adm (sabotagem) Java boleto (fraude interna) Invasão de site / vazamento de dados Clipper (fraude interna) MSDOS 16bit -‐ Video poker (Forças da Lei) Sistema Web .NET + SQL Server (Fraude Votação)
Maturidade em Investigação Computacional
Desenvolvimento e Integração de Tecnologia
Obrigado!
Sandro Süffert, CTO Techbiz Forense Digital
http://blog.suffert.com
