E-Detective – Soluções para Forense Computacional em Redes
Sistema Essencial para Monitoramento de Internet e Análise Forense
• Decodificação de Protocolos de Rede e Reconstrução de Conteúdo
• Monitoramento de Internet
• Análise Forense e Investigação Cibernética
2. O que é Forense de Rede?
Apresentar conteúdo original através da reconstrução de dados
por cada camada de comunicação de rede, com a finalidade de
zelar pela segurança do ambiente de TI ou por cumprimento de
exigência judicial
Captura de
Tráfego de rede
•Rede cabeada
•Rede Wireless
Checagem de
pacotes IP
Análise de pacotes
de dados
Reconstrução de
dados
•Integridade de
pacote
•Gravação de IP,
Timestamp,
Conta … do
cabeçalho
•Leitura de
cabeçalho TCP
•Indentificação de
número de porta
•Sequenciamento de
sessão
•Gravação de
cabeçalho em BD
•Gravação de
conteúdo em
arquivo multimídia
Utilitário de
Relatórios
•Apresentação de
registros
individuais
•Análise primária de
dados
DECISION GROUP INC.
3. Introdução Decision Group
•
•
•
•
Empresa com sede em Taiwan, estabelecida em 1986
Possui duas divisões de negócios:
– Desenvolvimento e fabricação de placas multisseriais, dispositivos para
aquisição de dados e controle, para automação industrial
– Em 2000, a partir de demanda do mercado, deu início à divisão que
desenvolve soluções de monitoramento de Internet e Forense Digital, hoje
principal negócio da empresa
Seus sistemas, principalmente os componentes com tecnologia de decodificação
sem precedentes, hoje são fornecidos em acordos OEM/ODM para vários
provedores de soluções de Forense Digital no mundo todo
Decision Group também oferece treinamentos especializados para profissionais do
ramo de investigação digital
– Treinamento de Análise Forense de Pacotes de Rede
– Treinamento de Técnicas de Investigação de Crimes Cibernéticos
– Treinamento para Agentes de Segurança Nacional
DECISION GROUP INC.
3
4. Marcos Divisão Forense Digital
2013 Entrada no Brasil através de parceria de representação pela Base Informática
2012 Anúncio de Sistema Central de Gerenciamento (CMS) com Sistema de Retenção de Dados (DRMS) e
Sistema de Decodificação HTTPS/SSL (ED2S) para infra-estrutura de 3 camadas e implantação em
redes distribuídas em grande porte
2011 Anúncio de sistema E-Detective para Intercepção Legal, em conformidade com ETSI, com capacidade
para redes fixas e 3G, e do sistema “Enterprise Data Guard System” com auditoria de transações em
banco de dados
2010 Lançamento de Sistema de Retenção e Gerenciamento de Dados, e empresa recebe prêmio de
reconhecimento pela autoridade nacional de segurança em Taiwan, pela contribuição de seus
sistemas E-Detective e serviços na área de investigação e combate à crimes digitais
2009 Anúncio de centro de decodificação VoIP
2007 Disponibilização para o mercado de centro de decodificação off-line multi-protocolo
2006 Patente reconhecida e anúncio de primeira solução Forense multi-estação para redes 802.11 a/b/g/n
com capacidade de quebra de chaves WEP/WPA e quebra de código HTTPS/SSL
2005 Solução ganha notoriedade mundial com sua contribuição decisiva na investigação pela polícia de Taiwan
e conseqüente prisão de Chang Hsi-ming, conhecido “Evil Dragon”, criminoso procurado há anos,
líder de quadrilha especializada em sequestros
2004 Primeira empresa a lançar centro de decodificação HTTPS/SSL no mercado
2002 Anúncio inédito de solução para Forense de Rede Wireless na Ásia
2000 Lançamento da primeira solução para Forense de Rede cabeada na Ásia
DECISION GROUP INC.
4
5. Captura de Tráfego de Rede
Rede Cabeada
Rede Wireless
DECISION GROUP INC.
6. Tecnologia Deep Packet Inspection
• Checagem de cabeçalho do
pacote de dados em cada
camada
– Camada IP: endereço IP, time
stamp, conta na rede…
– Camada TCP (UDP): número
de porta, encriptação,
número de sessão, conta AP…
– Camada Aplicação: tipo de
dado, status…
• Localiza o conteúdo
significante de serviço em
cada pacote
• Reconstrói o conteúdo por
sessão e tipo de serviço
Informação
Aplicação
Representação
Camada de
Aplicação
Sessão
Transporte
Camada TCP
Rede
Camada IP
DECISION GROUP INC.
6
7. Suporte a Múltiplos Protocolos
Email
Webmail
IM/Chat
(Yahoo,
MSN, ICQ,
QQ, IRC,
Google Talk
Etc.)
Outros
Games Online
Redes Sociais etc.
HTTP
(Link, Conteúdo,
Reconstrução,
Upload
Download)
Transferência de
Arquivos
FTP, P2P
•Decodificação de mais de
180 protocolos/serviços
•Cobertura de serviços
móveis
7
DECISION GROUP INC.
8. Apresentação de Dados
Mostra registros individuais
• Dados estatísticos
• Agrupamento por tipo de
serviço
• Apresentação de conteúdo
com informação por registro
Análise primária de dados
• Procura Full Text
• Data Scoping
• Análise primária de Link de
dados
• Registered File Tracking
• Interface aberta para
análise Data Mining externa
DECISION GROUP INC.
8
9. Manipulação de Dados
• Data Scoping por IP, nome de conta, duração, tipo
de serviço, palavra-chave…
• Análise de Link por palavra-chave, tipo de serviço
online, endereço IP, nome de conta, lista de
contatos…
• Mapeamento de identidade por IP, nome de
conta, endereço MAC…
• Estatísticas em serviços Online, consumo de
banda, IP…
• Interface aberta para integração com sistemas de
Data Mining / Text Mining Analysis
DECISION GROUP INC.
10. Por que é necessário Forense de Rede?
Fato:
• 80% dos dados dentro do PC ou laptop são da rede
• Rede é a maior ferramenta de comunicação das pessoas no
cyber-espaço
Necessidade na Interceptação Legal:
• Investigação não-intrusiva deve ser conduzida
• Ambos dados voláteis e não-voláteis devem ser adquiridos
Necessidade de conhecer:
• Conteúdo trafegado nos serviços de comunicação
• Rota de transmissão de dados
• Relacionamentos sociais entre alvos em redes
DECISION GROUP INC.
10
11. Quem precisa de Forense de Rede
• Agentes de Órgãos de Aplicação da Lei
• Gerentes de Segurança em TI nas Empresas
• Gestores de Marketing em Provedores de
Serviços de Telecomunicação
• Auditores de TI em Empresas de Auditoria
• Diretores de Estabelecimentos de Ensino
• Pais, zelando pela uso seguro da rede doméstica
DECISION GROUP INC.
11
12. Finalidades
• Investigação de Crimes Cibernéticos
– VoIP Phishing, Fraudes na Rede…
• Gerenciamento de Segurança em TI
– Violação de Dados, Abuso no uso de recursos de rede, Acesso a
conteúdo pornográfico & jogos…
• Auditoria e Gerenciamento de Riscos
– Instituições de serviços financeiros, Bancos, Seguradoras,
Gestão de ativos, Provedores de serviços de telecomunicação…
• Cumprimento de Mandato
– ISO 27000, SOX, HIPPA…
• Segurança Nacional
– Monitoramento da Internet, Anti-terrorismo…
• Controle de Comportamento Anormal
– Cyber bullying, Abuso Sexual, Chantagem…
• Muitas outras…
DECISION GROUP INC.
13. Dificuldades em Forense de Rede
Não é fácil implantar um sistema de forense de rede
operacional com sucesso, porque …
DECISION GROUP INC.
13
14. Sistema E-Detective
Sistema Essencial para Monitoramento de Internet e
Análise Forense
A melhor solução tática de Forense de Rede para:
• Decodificação de Protocolos de Rede e Reconstrução de Conteúdo
• Monitoramento de Internet
• Análise Forense e Investigação Cibernética
Dispositivo Avançado para Monitoramento de
Rede, Interceptação Legal e Forense de Rede
DECISION GROUP INC.
15. Visão Geral de Produtos e Soluções
Interceptação em Ethernet cabeada & Reconstrução em tempo real
Sistema E-Detective (ALL)
Sistema de monitoramento Ethernet LAN, Auditoria de Internet,
Detecção de vazamento e retenção de dados, Manutenção de Registros.
Também utilizado pelos Agentes da Lei para Interceptação Legal,
implementado nas redes dos provedores e gateways Internacionais.
E-Detective Data Guard System (ALL)
Monitora transações em Bases de Dados heterogeneas
(MySQL, MS SQL, Oracle DB, DB2, Sybase).
Monitora atividades Windows CIFS – atividades
de compartilhamento de arquivos MS Windows.
Monitora servidores internos de E-Mail – POP3, SMTP
E-Detective Data Retention & Management System (ALL)
Backup e arquivamento de dados de sistemas E-Detective
Revise, procure e execute buscas nos dados
Decision Group
16. Visão Geral de Produtos e Soluções
Interceptação em Ethernet cabeada & Reconstrução em tempo real
HTTPS/SSL MITM Interception System (LEA)
Interceptação de tráfego Ethernet LAN HTTPS como Gmail
incluindo nome e senha HTTPS
Também utilizado pelos Agentes da Lei para Interceptação Legal,
implementado nas redes dos provedores.
E-Detective Backup Server (ALL)
Backup de dados de sistemas E-Detective
Revise, procure e execute buscas nos dados
E-Detective Central Management System (ALL)
Gerencie múltiplos sistemas E-Detective, ED Backup Server,
EDDC com um único login e GUI
Execução de buscas centralizadas
Decision Group
17. Visão Geral de Produtos e Soluções
Interceptação em Redes Wireless & Reconstrução em tempo real
Wireless-Detective System (LEA)
Sistema de interceptação passiva Wi-Fi IEEE 802.11 a/b/g/n
Alvo pode ser um AP, um Cliente ou um Canal inteiro
Capaz de quebrar chaves WEP
Sistemas WD x 4 Extreme inclui funções de Captura Distribuída,
Bloqueio e Localizador.
WPA-PSK Password Recovery System (LEA)
Recuperação de frase-chave WPA1-PSK e WPA2-PSK
Usa Aceleração via Hardware GPU
Usa Dicionário Inteligente (Mutação)
Usa Macaramento (Ataque de Força Bruta)
Decision Group
18. Visão Geral de Produtos e Soluções
Interceptação Integrada & Reconstrução em tempo real
Network Investigation Toolkit – NIT (LEA)
Sistema de interceptação passiva e ativa em Ethernet LAN
Interceptação passiva e ativa Wi-Fi IEEE 802.11 a/b/g/n
Para interceptação passiva Wi-Fi, alvos podem ser até 4 AP,
4 Clientes ou 4 Canais.
Capaz of quebrar chaves WEP
Recuperação de senhas WPA-PSK (opcional)
Decifra tráfego HTTPS incluindo usuário e senha através de
implementação ativa em ambos ambientes LAN e Wi-Fi
Capaz de reconstrução manual de arquivos de dados PCAP
Decision Group
19. Visão Geral de Produtos e Soluções
Reconstrução manual de pacotes offline
E-Detective Decoding Centre - EDDC (ALL)/ EDDC-LEMF (LEA)
Proporciona gestão de Casos e gerenciamento de usuários para
diferentes investigadores e em diferentes casos.
Análise e reconstrução de arquivos PCAP pré-obtidos manualmente.
Forensics Investigation Toolkit – FIT (ALL)
Única aplicação de software para Windows
Desenvolvido para usuário único
Análise e reconstrução de arquivos PCAP
pré-obtidos manualmente.
ALL= Disponível para o mercado em geral
LEA = Law Enforcement Agency. Fornecimento
exclusivo à Órgãos e Agentes da Lei
Decision Group
21. Oportunidade para canais em todo o Brasil
Representante no Brasil
parcerias@base.inf.br
www.basetecnologia.com
21
DECISION GROUP INC.
Notes de l'éditeur
E-Detective System - implemented in mirror mode to sniff/intercept organization network Internet traffic. - able to reconstruct various Internet services: Email (POP3, SMTP, IMAP), Webmail Read and Sent (Yahoo Mail, HTTP Gmail, Hotmail, Zimbra Mail, QQ Mail, Rediff Mail etc.), IM (Yahoo Messenger, Web Yahoo, Windows Live Messenger, Web MSN, ICQ, IRC, Skype Voice Call Log, UT Chat Room), File Transfer (FTP Upload/Download, P2P File Sharing Logs), Web HTTP (Link, Content, Reconstruct, Request, Upload/Download, FLV Video Streaming), Social Networking Sites (Facebook Chat/Wall/Games, Twitter, Plurk), VoIP (RTP Voice Calls), Telnet, Online Games, Unknown Traffic Analysis etc. - Other Management Capabilities – Full Text Search, Association Search, Conditional Search, Similar Search, Alert/Notification with Content, Throughput Alert, Authority Access Assignment, Reports (Statistical Report, Daily Reports, Weekly Reports, Monthly Reports etc.), Backup Data Retention etc.
E-Detective System - implemented in mirror mode to sniff/intercept organization network Internet traffic. - able to reconstruct various Internet services: Email (POP3, SMTP, IMAP), Webmail Read and Sent (Yahoo Mail, HTTP Gmail, Hotmail, Zimbra Mail, QQ Mail, Rediff Mail etc.), IM (Yahoo Messenger, Web Yahoo, Windows Live Messenger, Web MSN, ICQ, IRC, Skype Voice Call Log, UT Chat Room), File Transfer (FTP Upload/Download, P2P File Sharing Logs), Web HTTP (Link, Content, Reconstruct, Request, Upload/Download, FLV Video Streaming), Social Networking Sites (Facebook Chat/Wall/Games, Twitter, Plurk), VoIP (RTP Voice Calls), Telnet, Online Games, Unknown Traffic Analysis etc. - Other Management Capabilities – Full Text Search, Association Search, Conditional Search, Similar Search, Alert/Notification with Content, Throughput Alert, Authority Access Assignment, Reports (Statistical Report, Daily Reports, Weekly Reports, Monthly Reports etc.), Backup Data Retention etc.