Início. Aspectos da análise forense Marcos Nascimento Borges Pereira, MBA, PMP Gerente de TécnicoT. Agenda



Documentos relacionados
FORENSE COMPUTACIONAL

10 DICAS DE TECNOLOGIA PARA AUMENTAR SUA PRODUTIVIDADE NO TRABALHO

Programas Maliciosos / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador

1. P03 Dispositivos de Acesso. Configuração Mínima de Softwares para Estações de Trabalho P03.001

Administração de Sistemas. MSN:

Sistemas de Informação Gerencial

Aula 03 Forense Computacional. Laboratório Forense & Investigação Forense

CURSO BÁSICO DE INFORMÁTICA

Anexo IV PLANILHA DESCRITIVA DE ESPECIFICAÇÕES TÉCNICAS

22/07/2011. Resumo. Leandro Galafassi CHFI, CEH, ITIL

MÓDULO 11 ELEMENTOS QUE FAZEM PARTE DO PROJETO DO SISTEMA

ESPECIFICAÇÕES TÉCNICAS e OPERACIONAIS. BioMatch Server e BioMatch Client

Seja Bem-vindo(a)! Neste módulo vamos trabalhar os principais conceitos de informática.

CONSULTORIA E SERVIÇOS DE INFORMÁTICA

Organização de arquivos e pastas

SISTEMA DE ARQUIVOS. Instrutor: Mawro Klinger

Firewall. Qual a utilidade em instalar um firewall pessoal?

Admistração de Redes de Computadores (ARC)

PROJETO INFORMÁTICA NA ESCOLA

AULA 5 Sistemas Operacionais

UM NOVO CONCEITO EM HOSPEDAGEM DE DOMÍNIO

Suporte Informática com 1 visita 12 meses

MANUAL DE INSTALAÇÃO DVR-USB ST-104

Nexcode Systems, todos os direitos reservados. Documento versão

IOB Mitrius Software de auditoria eletrônica de arquivos digitais de SPED. O que faz: O que oferece:

Introdução a Informática - 1º semestre AULA 02 Prof. André Moraes

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

ESPECIFICAÇÕES TÉCNICAS e OPERACIONAIS. BioGer Server e BioGer Client

FOUR Soluções. Projeto Integrador Documento Visão. Versão <1.0>

Perícia forense computacional aplicada a dispositivos de armazenamento e smartphones android

Aula 01. Introdução ao Linux

CSI IT Solutions. Facilidade de uso

Manual de Usuário INDICE

Manual do usuário. Mobile Auto Download

Passo 3: Posicionando a Câmera na Prova Didática Teórica ou na Prova de Defesa da Produção Intelectual

Temas para a Primeira Avalição

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO

Tópicos. Atualizações e segurança do sistema. Manutenção Preventiva e Corretiva de Software (utilizando o MS Windows XP)

FIREWALL, PROXY & VPN

Como conectar-se à rede Sem Fio (Wireless) da UNISC. Pré-Requisitos:

Empresa GÊNIO INFORMÁTICA

CSI IT Solutions. WebReport2.5. Relatórios abertos. Acesso controlado Extensibilidade de módulos IMPACTO AMBIENTAL

*HUPRQGR±0DQXDOGR8VXiULR

Cláusula 1.º Objecto. Cláusula 2.º Especificação da prestação

Informática. Informática. Valdir

Aula 04 B. Interfaces. Prof. Ricardo Palma

Administração de Sistemas de Informação I

(eletronic mail )

GESTÃO DE SISTEMAS OPERACIONAIS II

SolarWinds Kiwi Syslog Server

Orientações aos docentes

O relacionamento direto com o cliente, respeito mútuo, responsabilidade, flexibilidade e adaptabilidade são os principais valores da Infolux.

FICHA TÉCNICA BRWall

Como conectar-se à rede Sem Fio (Wireless) da UNISC. Pré-Requisitos:

Novidades do AVG 2013

Principais Benefícios. ESET Endpoint Security

BRAlarmExpert. Software para Gerenciamento de Alarmes. BENEFÍCIOS obtidos com a utilização do BRAlarmExpert:

Dell Infrastructure Consulting Services

Capacidade = 512 x 300 x x 2 x 5 = ,72 GB

Evolução na Comunicação de

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO

A seguir, respostas aos questionamentos referentes ao Pregão Presencial nº 17/14:

UNIVERSIDADE FEDERAL DO PARANÁ Setor de Ciências Agrarias

Manual do usuário. Softcall Java. versão 1.0.5

Revisão 7 Junho de 2007

CONHEÇA MELHOR SEU COMPUTADOR

Informática - Prof. Frank Mattos

SERVIDOR VIRTUAL BÁSICO - LINUX

Nexcode Systems, todos os direitos reservados. Documento versão

Eberhardt Comércio e Assist. Técnica. Ltda.

02. A extensão padrão para arquivos de áudio digital no ambiente Windows é:

O Webconference é uma ferramenta para realizar reuniões online.

Backup.

Software Web para: Empresas, Governo, Organizações, Entidades de Classe, Sindicatos, ONG's e Profissionais Liberais

TRABALHO COM GRANDES MONTAGENS

BANCO DE DADOS CONTEÚDO INFORMÁTICA. Prof.: MARCIO HOLLWEG BANCO DE DADOS SGBD TABELA CONCEITOS BÁSICOS

Codificar Sistemas Tecnológicos

Prof. Esp. Lucas Cruz

SISTEMAS OPERACIONAIS

CATÁLOGO DE CUSTOMIZAÇÕES Apontamento Web

DELEGAÇÃO REGIONAL DO ALENTEJO CENTRO DE FORMAÇÃO PROFISSIONAL DE ÉVORA REFLEXÃO 3

Nettion Security & Net View. Mais que um software, gestão em Internet.

E- mail Corporativo. 2RS Soluções em TI

Guia rápido de recursos Wi-Fi GZ-EX210

Módulo 6 Usando a Internet. Internet. 3.1 Como tudo começou

Quando se fala em ponto eletrônico, a primeira coisa que vem à sua cabeça ainda é dor?

GOVBR- UEM-MARINGA PREFEITURA MUNICIPAL DE PEROLA

Simulador ITIL Exame de Certificação da EXIM

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

SISTEMA GERENCIADOR DE BANCO DE DADOS

Forense Computacional

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Transcrição:

Início Aspectos da análise forense Marcos Nascimento Borges Pereira, MBA, PMP Gerente de TécnicoT marcos@techbiz.com.br Agenda Definição Forense Digital Cenários Manipulando a cena do crime Resposta Inadequada Processos de Investigação Corporativa Casos Ferramentas Investigativas Demonstração

Definições Forense Digital : A Forense Digital pode ser definida como uma área de conhecimento que se utiliza de métodos elaborados e comprovados cientificamente visando a preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidências digitais com o propósito de facilitar ou permitir a reconstituição de procedimentos de natureza criminosa que ocorram em equipamentos digitais. A Forense Digital é, portanto, mais abrangente e trabalha com informações armazenadas ou transmitidas por equipamentos digitais como PDAs (Personal Digital Assistants), telefones celulares, máquinas de FAX, centrais telefônicas digitais, os próprios computadores, entre outros. Cenário Atual Situação é muito ruim! Alta complexidade dos softwares / redes. Enorme número de vulnerabilidades. Exploits e receitas de bolo disponíveis. Ação de Crackers / Script Kiddies Usuários internos mal-intencionados, uso indevido dos recursos de TI. Concorrentes / Espionagem industrial Pragas virtuais / Malware Spam / Phishing

Situação ruim : Complexidade Softwares estão cada vez mais complexos: Solaris 7 400.000 linhas de código (LOC). Netscape 17 milhões de LOC. Windows XP 40 milhões de LOC. Estima-se entre 5 a 50 bugs / KLOC. Rede com 1000 nós. 3000 executáveis / nó. 10 KLOC/exe = 50 bugs/exe = 150.000 bugs/host. 150 milhões de bugs na rede. 10% - falhas de segurança e 10% - explorados remotamente = 1.500.000 bugs de segurança! Análise / Investigação Alta complexidade Enorme número de diferentes aplicações : Browsers : IE, Mozilla, Firefox, Opera... E-Mail : Outlook, Outlook Express, Lotus Notes, Eudora, Thunderbird... P2P : Kazaa, e-mule, Morpheus, BitTorrent... Diversos fabricantes e modelos de telefones móveis (Nokia, Siemens, Samsung, Sony...) Infinidade de formatos de arquivos Detalhes específicos de funcionamento de sistemas operacionais : Windows 9x, Windows NT, Windows 2000, Windows XP, Windows 2003, RedHat, Suse, SlackWare, Solaris... Enorme número de arquivos (102.862 neste notebook) Detalhes técnicos específicos e obscuros, ex: NTFS Streams, File Slack e etc.

Onde mora o perigo Cenário Atual Situação é ruim... E vai piorar... Popularização crescente dos computadores e Internet. Popularização das WLANs. Complexidade de softwares e redes crescente : Web Services, interoperabilidade. Ausência de incentivos para desenvolver software seguro. Novas funcionalidades x Investimento em Segurança. SuperWorm. Carência de profissionais qualificados.

Os DESAFIOS da Resposta à Incidentes Volume de Dados: 6 usuários envolvidos em um incidente/problema. HDs de 60 GB. 10 CDs por usuário envolvido. 100 GB em servidor de arquivos comum. Falhas no Processo : Falta de metodologias para aquisição de evidências Falhas para encontrar os dados corretos Dificuldade de iniciar uma investigação Falta de uma base de dados de incidentes ocorridos Demora para documentar e relatar o incidente 500 GB! Questões logísticas pré-investigação Quais tipos de evidência você espera encontrar? (Pornografia, softwares piratas, códigos fonte, etc) Qual é o escopo da pesquisa? Você está autorizado a investigar quantas máquinas? Você tem permissão para investigar todos os arquivos do disco? Quantos computadores estarão no local? Eles estarão ligados? Se for uma empresa, há alguma política de uso definida? Qual é o tamanho dos discos a serem investigados? Qual sistema operacional está instalado? Onde fica o backup da rede? Existe algum cofre no local? A equipe de TI é terceirizada ou própria? Os suspeitos estarão presentes? Outras pessoas estarão presentes? Existe rede wireless no local, se sim, qual tipo, escopo e outras particularidades?

Manipulando a cena do crime O que levar para uma investigação?! Kit de ferramentas Lanternas (grande e pequena) Luvas de latex Kit de primeiros socorros Manual de Hardware Camera digital para capturar os dados na tela (Incluir uma RÉGUA!) Cabos de energia, Nobreaks, etc Hub ou Switch para ligar computadores em rede Cabos Cross-over e de rede Placas de rede Equipamento para duplicação forense Equipamento para bloqueio à gravação em disco Adaptadores: IDE para SATA, SCSI 50 para 68 pinos, SCSI 68 para 80, notebooks para Firewire, IPOD para USB, etc Etiquetas, embalagens anti-estáticas, canetas marcadoras, etc. Imagine o imprevisível! (Video games, celulares, etc) Resposta Inadequada Defesa de Perímetro Avaliação de vulnerabilidades Detec. de Intrusos E Filtro de Conteúdo Resposta à Incidentes E Forense Firewalls VPNs Controle de Acesso Autenticação Scanners de vulnerabilidade Levantamento de ameaças IDS Sniffers Pessoas e processos Defesa de Redes Investimentos consolidados Pouca estimativa de novos investimentos Detecção Em investimento Dinheiro perdido sem a resposta à incidentes Resposta Sem investimentos

Processos de Investigação Corporativa Preparação Pré Incidente Detecção Resposta Inicial Formular Estratégia Reação Coleta de Dados Análise de Dados Investigação Relatório Final Resolução Recuperação Evolução das medidas de segurança Forense Digital Aspectos gerais Leis Processos Motivação Componente humano Aspectos Técnicos Estruturas de disco (CHS, RAID...) Sistemas de arquivos (FAT,NTFS,EXT2,EXT3...) Esquemas de codificação (ASCII,Unicode...) Formatos de arquivos (ZIP, Word, Excel...) Arquivos temporários Áreas desperdiçadas (file slack, RAM slack...) Informações em memória RAM Detalhes de fabricantes/modelos/interfaces de aparelhos móveis Foco em tecnologia (hardware e software) aplicada aos aspectos técnicos da Forense Digital (Resposta a Incidentes).

Aspectos Técnicos Decisão Vivo x Morto Analisar sistema suspeito em funcionamento ( vivo ) ou desligá-lo ( morto ). Vivo capacidade de obter informações voláteis em memória RAM Impossibilidade de evitar alterações Morto Como desligar? Shutdown x Desligar da tomada Desligar(?) e realizar duplicação forense. Trabalhar na cópia!!!! Etapas Macro : Duplicação Forense Análise e Investigação Apresentação de resultados Aspectos Técnicos Software pode automatizar : Análise de HASH Análise de Assinatura (extensão x formato do arquivo) Reconstrução de arquivos estruturados (ZIP, Office, Registry...) Visualização no tempo de atributos Filtros por características de arquivos (tipo, tamanho, datas) Consulta por palavras chaves / expressões regulares Histórico de acesso Internet (para browsers comuns) Histórico de uso de WebMail (Hotmail, Yahoo...) Histórico de uso de programas P2P Logs de sistema (event viewer, syslog...) Documentos impressos (arquivos de spool temporários) Busca em áreas desperdiçadas (file slack, ram slack...)

Caso de Injurias entre funcionários (Varejo) O caso: Uma Diretora de RH recém-contratada por uma grande empresa do varejo começou a receber cartas ameaçadoras para que ela deixasse o cargo. Problema: As cartas eram enviadas por correio postal e haviam 2000 suspeitos na empresa. Tamanho do desafio: A empresa não tinha como investigar as máquinas pois as cartas eram enviadas de maneira tradicional por correio postal. A solução: Usando o EnCase Enterprise e um mandanto de busca e apreensão conseguimos procurar na rede palavras chaves que eram citadas nas cartas. Resultado: Com uma semana de trabalho identificamos 5 prováveis suspeitos e após um acompanhamento de mais uma semana identificamos o cabeça do grupo. Caso de fuga de informações O caso: O grupo de auditoria corporativa suspeitava que um funcionário descontente estava vazando informações para uma concorrente. Problema: O usuário levava no notebook as informações para casa todos os dias e a investigação tinha que acontecer de maneira discreta. A solução: Usando o EnCase Enterprise conseguimos encontrar resquícios de emails e palavras chaves com o nome da empresa concorrente. Resultado: Com duas horas de trabalho encontramos informações de navegação web que ligava o suspeito e a empresa concorrente.

Alternate Data Streams Recurso existente para compatibilidade com Machintosh Guarda um arquivo dentro do outro Não aparece dentro do Windows Fácil de encontrar com o EnCase Conditions > General Conditions > Alternate Data Streams Ferramentas Investigativas Encase Forensics Análise Pericial Encase Enterprise Resposta a Incidentes, ediscovery e Anti-fraude

Demonstração Duplicação Forense Fundamental bloqueio de escrita na mídia original. Bloqueio de escrita com Windows muito difícil!!! Calcular HASH (MD5, SHA-1) durante duplicação. Alternativas : Software Linux DD Encase SafeBack Ghost (?) Hardware Solo 3, RoadMASSter II Procedimento de duplicação é enorme gargalo Exemplo : 1 HD 60 GB : 10/12 horas por Software 20 minutos com Hardware (até 3.6 GB / minuto nos equipamentos Solo 3 e RoadMASSter II)

Equipamentos para duplicação ICS Intelligent Computer Solutions RoadMASSter II Processador Pentium 4 3.2 Ghz 2 GB de memória RAM Suporta HDs SCSI, ATA, SATA Suporta dispositivos de memória em estado sólido Transferências superiores a 3 GB / minuto Suporta Hash MD5, SHA-1, SHA-2 e correção de erro CRC32 WipeOut zera HDs usado para armazenar imagens suspeitas com velocidade de até 3 GB / minuto seguindo padrão DoD. Equipamentos para duplicação

Equipamentos para duplicação ICS Intelligent Computer Solutions ImageMASSter Solo III Taxa de transferência até 3.3 GB / minuto Interface Touch-Screen Hash MD5 ou CRC32 Integração com dispositivo biométrico opcional Interfaces FireWire e USB 2.0 Suporta HDs ATA, SATA e SCSI (usando interface SCSI PCMCIA opcional) Captura HD suspeito para 2 HDs simultaneamente. Bloqueio de escrita Compatibilidade com DD Sanitize HD de provas (zera HD de acordo com padrões do DoD para uso em outros processos de investigação) Pode capturar para DVD-RW através de kit opcional Forense em Celulares Micro Systemation Unidade de comunicação que se conecta ao micro do investigador via porta USB. Kit de cabos com conector específico para cada aparelho em uma ponta, e conector USB para a unidade de comunicação em outra. Leitor de cartões SIM para aparelhos GSM. Software.XRY Visualizador.XRY : Pode ser distribuído gratuitamente. Documentação em formato PDF, incluindo detalhada documentação sobre aparelhos suportados.

Finalizando... Equipes de Resposta a Incidentes devem incorporar técnicas e procedimentos de forense digital rotineiramente. Automatização e tecnologia apropriada são fundamentais na área de Forense Digital : Evitar erro humano Enorme ganho de Produtividade!! TechBiz Forense Digital : foco na aplicação de tecnologia a Forense Digital através de fortes parcerias. http://www.forensedigital.com.br Perguntas?

Obrigado

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback