Forense em Rede com Wireshark.

Transcrição

1 Forense em Rede com Wireshark

2 2

3 Gilberto Sudré» Professor do Instituto Federal de Educação do ES - Ifes» Perito em Computação Forense» Coordenador do Lab. de Segurança da Informação e Computação Forense - LABSEG/Ifes» Instrutor da Academia de Polícia Civil do ES em Computação Forense» Membro do CB21/CE27 da ABNT sobre Segurança da Informação 3

4 Agenda» Perícia Computacional Forense» Etapas de uma Perícia Digital» Forense Computacional em Redes» Captura de tráfego» Wireshark» Análise de caso 4

5 Perícia Computacional Forense

6 Perícia Computacional Forense Perícia Forense aplicada a Tecnologia da Informação é a ciência que visa a proteção, investigação, recuperação, coleta, identificação e análise de evidências aplicadas dentro de um processo legal. Estes procedimentos visam, dentro do possível, determinar o curso das ações executadas pelo Agente, recriando assim, o cenário completo acerca dos fatos ocorridos no mundo digital. Gilberto Sudre 6

7 Perícia Computacional Forense» Incidente já ocorreu!» Busca descobrir Quem? O quê? Quando? Como? Onde? Por quê? Alcance? 7

8 Evidência Digital Qualquer tipo de dado digital que possa ajudar a demonstrar que uma fraude ou irregularidade foi cometida, ou que possa estabelecer um vinculo entre a fraude ou irregularidade e a vitima ou entre a vitima e o agente 8

9 Busca de evidências» Computadores Registros de atividade no sistema Memória / Processos Dispositivos de armazenamento» Dispositivos móveis Ligações, mensagens, fotos, aplicativos» Redes de Computadores 9

10 Etapas de uma Perícia Digital

11 Etapas de uma perícia Digital 11

12 Cadeia de Custódia» Evidências são etiquetadas e lacradas» A etiqueta deve conter o hash da mídia lacrada e informações de data, hora e responsável pela aquisição» A lista é mantida, recebendo uma anotação a cada acesso de alguém à evidência» Sempre lacrada ou no cofre de evidências 12

13 Forense em Redes de Computadores

14 Forense em Redes» Caso o computador esteja ligado e em rede pode ser necessário fazer uma coleta de tráfego da rede para posterior análise» O monitoramento pode revelar muitas informações importantes como conexões ativas, sites abertos, programas em execução, etc. 14

15 Forense em Redes» Não é um produto É um processo que envolve conhecimento técnico e uso de ferramentas» Não é uma solução de segurança Como Firewall, IDS ou antivírus» Não envolve somente a captura de tráfego É complementado pela análise de logs e acesso a sistemas e servidores 15

16 Questões iniciais» Quais equipamentos serão analisados?» Quais sistemas operacionais estão em uso?» Qual a quantidade pode ou precisa ser capturada?» É possível utilizar filtros para acelerar o processo de análise?» Como garantir a integridade dos dados após a captura?» Como garantir a privacidade dos dados que não fazem parte do processo de captura? 16

17 Tipos de análises» A quente Captura e análise do tráfego em tempo real» Dados capturados O tráfego é armazenado para análise posterior 17

18 Validação de tráfego» O tráfego deve apontar a autoria e a materialidade da conduta ilícita» Preservação da integridade do tráfego coletado para evitar questionamentos posteriores Utilização do código de hash Exemplos: md5sum, sha2 18

19 Validação de tráfego» Caso os argumentos legais e técnicos não sejam suficientes para o convencimento de todos o investigado deve ser absolvido» Atenção com as mídias que armazenam as capturas, as técnicas e as ferramentas utilizadas» Capturas incompletas ou truncadas invalidam a evidência 19

20 Validação de tráfego» Lei de interceptações de Comunicações Telefônicas Lei nº 9.296, de

21 Protocolos» As ferramentas de captura e análise do tráfego não pensam» Cabe ao perito o conhecimento detalhado dos protocolos de rede IPv4 IPv6 TCP UDP HTTP HTTPS RFC RFC RFC RFC RFC RFC SMTP POP IMAP DNS FTP RFC RFC RFC RFC RFC

22 Localização do IP» Exame do Endereço IP Verificar o provedor responsável pelo IP Verificar a localização geográfica Nem sempre a informação fornecida é precisa 22

23 Localização do IP 23

24 Exame 24

25 Exame 25

26 Captura de Tráfego

27 Captura de tráfego» Ferramentas: Sniffers» Aplicação em Redes cabeadas e sem fio» Interface Gráfica ou linha de comando» Modos: Modo monitor (RFMON) Modo promíscuo 27

28 Modos de captura» Monitor Aplicado a Redes sem fio Captura do tráfego sem estar associado a uma rede sem fio Ferramenta: airmon-ng 28

29 Modos de captura» Modo promíscuo Aplicado a Cabeadas e sem fio Captura do tráfego com a estação associada a uma rede sem fio ou conectada a uma rede cabeada Placa de rede em modo promíscuo Ferramentas: Wireshark tcpdump 29

30 Modo promíscuo» Redes com Hub 30

31 Modo promíscuo» Redes com Switch: Limitações 31

32 Modo promíscuo» Redes com Switch: Limitações Espelhamento de porta 32

33 Modo promíscuo» Redes com Switch: Limitações Interceptação intermediária 33

34 Formatos de captura» Texto Plano Arquivo texto convencional» Pcap Formato recomendado Formato padrão reconhecido por praticamente todas as ferramentas de análise de pacotes 34

35 Formatos de captura» Texto Plano Arquivo texto convencional» Pcap Formato recomendado Formato padrão reconhecido por praticamente todas as ferramentas de análise de pacotes 35

36 Bibliotecas para captura» Libpcap Linux Escrita em C Código aberto» Ativa o modo promíscuo da interface de rede» Outros ambientes Windows: WinPcap Redes sem fio: AirPcap 36

37 Bibliotecas para captura» Atenção: Algumas marcas e modelos de interfaces de rede não suportam funcionamento em modo promíscuo 37

38 Wireshark

39 Wireshark» Ativa o modo promíscuo da interface de rede» Captura do tráfego Salva os quadros capturados em um arquivo em disco» Análise do tráfego Interpreta o formato dos pacotes permitindo a análise do seu conteúdo» Fork do Ethereal 39

40 Wireshark» Versões para Windows, Linux e OS X» Utiliza as bibliotecas de captura Libcap ou WinPcap» Site 40

41 Instalação» Windows e OS X Download do site Pacote completo Biblioteca WinPcap» Linux Repositório da distribuição 41

42 Captura em tempo real» Escolha da interface» Informações da interface» Escolha do modo» Iniciar a captura» ATENÇÃO: Para captura o Wireshark deve ser executado com direitos de root (administrador) 42

43 Captura em tempo real 43

46 Salvando as capturas 46

47 Análise do tráfego» Arquivo já gravado Menu: file» Captura em tempo real Pacotes capturados» Painéis Summary (resumo) Detail (detalhes) Hex (hexa) 47

48 Abrir arquivo de captura 48

51 Código de cores 51

52 Filtros» Melhora a visualização de um fluxo de tráfego específico» Busca de informações dentro do arquivo de captura» ATENÇÃO: Caso o filtro seja mal configurado ele pode omitir evidências importantes 52

53 Criação de filtros simples 53

54 Criação de filtros sofisticados 54

55 Identificando os fluxos de dados» Exibe todos os fluxos de dados existentes no arquivo de captura 55

56 Identificando os fluxos de dados 56

57 Identificando os fluxos de dados 57

58 Seguindo um fluxo de dados» Exibe os dados trocados entre dois endpoins» Útil para identificar e isolar troca de arquivos ou comandos enviados com suas respectivas respostas 58

59 Seguindo um fluxo de dados 59

60 Seguindo um fluxo de dados 60

61 VoIP» O Wireshark pode identificar e decodificar ligações VoIP que aconteceram durante a captura do tráfego» É possível ouvir o conteúdo da ligação a partir do aplicativo» Exemplo: Captura Ligacao VoIP.pcap 61

62 VoIP 62

63 VoIP 63

64 VoIP 64

65 VoIP 65

66 VoIP 66

67 VoIP 67

68 Analise de um caso

69 Análise de um caso» Você recebeu um arquivo de captura resultado da quebra de sigilo de uma comunicação telemática» A captura registrou o momento de um ataque a uma rede» Você foi intimado como perito para responder aos quesitos dos advogados» Analise com as ferramentas que julgar necessárias e responda aos quesitos 69

70 Análise de um caso» Arquivo Captura Trafego de rede.pcap 70

71 Análise de um caso» Queira o Sr. Perito responder: Quais sistemas (endereços IP) estão envolvidos? O que você pode identificar do host atacante (Ex: onde ele está localizado)? Quantas sessões TCP estão presentes no arquivo de captura? Quais foram as sessões TCP que estão presentes no arquivo de captura? 71

72 Análise de um caso» Queira o Sr. Perito responder: Quanto tempo durou a execução do ataque? Qual sistema operacional foi o alvo deste ataque? Você pode relacionar um resumo das ações executadas pelo atacante? Existiu o envolvimento de um malware? Qual é o nome deste Malware? 72

73 Análise de um caso» Antes de iniciar Duplicação pericial do arquivo cp captura.pcap capturacopia.pcap Comparação dos hashs sha256sum 73

74 Análise de um caso» Quais sistemas (endereços IP) estão envolvidos? 74

75 Análise de um caso» Quais sistemas (endereços IP) estão envolvidos? Resposta: Atacante: Vitima:

76 Análise de um caso» O que você pode identificar do host atacante (Ex: onde ele está localizado)? 76