SlideShare une entreprise Scribd logo

"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?

SegInfo
SegInfo

Palestra do Sandro Suffert, CTO da Techbiz Forense Digital, sobre "Desafios em Computação Forense e Resposta a Incidentes de Segurança"

Technologie
1  sur  64
Télécharger pour lire hors ligne
Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süffert http://blog.suffert.com
Equipamentos de Laboratórios de Perícia Computação Forense é só isto? Softwares de Duplicadores de Mídias Armazenamento Portátil Análise Pericial Computadores Especializados Mobile Forensics Aquisição em campo Bloqueadores de Escrita
Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital: Perícia Criminal Segurança da Inf. Auditoria Anti-Fraude Inteligência Fiscalização Jurídico Defesa Cibernética Compliance
Algumas modalidades de Forense Computacional Forense Post- Forense de Rede Forense Remota Forense Mortem • Redes Cabeadas • Conexão online Colaborativa • HDs, CDs, Pen- • Redes Sem Fio • Silenciosa • Múltiplas Drives, Disquetes, • Reconstrução de • Stealth Investigações etc Sessões • Múltiplos • Capacidade de • Telefones, GPS, Investigadores • Geração de obtenção de Tablets, etc • Interface de Metadados dados voláteis Investigação • Possibilidade de Amigável Remediação • Grupo Especialista
Taxonomia: Evento>Ataque>Incidente>Crime INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não Objetivos Agente Ferramentas Falha Ação Alvo autorizado Crime
Dinâmicas de Incidentes ou “Crimes Digitais” Resultado Agente Ferramentas Falha Ação Alvo Objetivos não autorizado Hackers Ataque Físico Design Probe Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan Processos Obtenção Ganho Terroristas Eng. Social Configuração Flood Dados informação Financeiro confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass Computadores Spoof Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia Recursos John D. Howard e Thomas A. Longstaff Roubo A Common Language for Computer Security Incidents Modificação http://www.cert.org/research/taxonomy_988667.pdf Remoção
Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP 1)Timing, 11) Ferramentas, 2) Vítimas/Alvos, 12) Mecanismo de Persistência, 3) Origem, 13) Método de Propagação, 4) Mecanismo de Entrada, 14) Dados Alvo, 5) Vulnerabilidade ou Exposição, 15) Compactação de Dados, 6) Exploit ou Payload, 16) Modo de Extrafiltração, 7) Weaponization, 17) Atribuição Externa, 8) Atividade pós-exploração, 18) Grau de Profissionalismo, 9) Método de Comando e Controle, 19) Variedade de Técnicas utilizadas, 10) Servidores de Comando e Controle, 20) Escopo (R. Beitlich, M. Cloppert) Agente Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
Diferentes Níveis de Importância Estratégica Diferentes Categorias de Agentes e Objetivos diagrama: - David Ross – GFIRST/Mandiant
Processos de Investigação Digital
Exemplo de Processo de Investigação
• CheckList de Abertura • Requisitar Autorização • Designar responsáveis • Preservação e Coleta • Acompanhamento • Efetuar • Inventário • Enviar para Análise
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial • PADRONIZAR o processamento, gerando CONTROLE • MINIMIZAR ao máximo a PERDA de dados • EVITAR a CONTAMINAÇÃO de dados / informações
Tratamento > Coleta Remota
• INFORMAÇÃO sobre as FERRAMENTAS utilizadas • INFORMAÇÕES sobre a REDE • INFORMAÇÕES sobre a AQUISIÇÃO • INFORMAÇÕES sobre ARQUIVAMENTO
Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 – Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Autorização Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup) Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de Emails Requisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
Cyber Segurança – uma crise de priorização NCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
Pessoas: A crise de capital humano em CiberSegurança
Alguns Desafios em Perícia Computacional e Resposta a Incidentes 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados
Desafios Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
1 – aumento do tamanho das mídias (HDs) Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
1 – aumento do tamanho das mídias (HDs) Discos: aumento de +576%. Estações de Trabalho: +29,7% PDA/Blackberry/Assemelhados: +859%
Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados a serem analisadas: - Análise de discos de Estado Sólido (SSD) - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs/BD - Análise de dispositivos móveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Outras Fontes de Dados: Análise de Memória – ex 1 (pdgmail.py)
Outras Fontes de Dados: Análise de Memória – ex 2 (Ftk 3.x)
Outras Fontes de Dados: Análise de Memória – ex 3 (HBGary Responder)
Outras Fontes de Dados Análise de Sessões de Rede
Outras Fontes de Dados Análise de Sessões de Rede – ex. 4
Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: 2 – aumento das fontes de dados a serem analisadas: 3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..) - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP – UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta – UserAssist: Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 – UserAssist: Cifra – ROT13 / inicia o contador em 0.
Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242. Suporte completo a ext4: FTK 3.3 e Encase 7
Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) - Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
4 - Melhoria de Performance BackEnd Oracle / Processamento Distribuído – AD LAB
4 - Melhoria de Performance CriptoAnálise – FRED-SC + EDPR - CUDA
Avanços Tecnológicos - Triagem 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: 5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
5 – Melhoria na Triagem: ex 1 – em campo EnCase Portable USB – 4GB PenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
5 – Melhoria na Triagem: ex 2 – em campo
5 – Melhoria na Triagem: ex 3 – remota Servlets Installed on Computers
Forense Remota / Remediação Auditoria Logical ResultLog Evidence File • Quem? • Garantia de • Existência ou não integridade de arquivos • Quando? • Materialização de responsivos • Onde? prova •Tamanho reduzido
Avanços Tecnológicos 1– aumento do tamanho das mídias 2– aumento das fontes de dados 3– novidades tecnológicas 4– melhorias de performance de ferramentas 5– melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis - indexação de textos em imagens (OCR); Novos algorítimos de análise - Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
Evolução de Técnicas de Análise - Hashes Uso de Hashes Criptográficos - Arquivos de Evidência .e01 vs .dd: - E0x1,L0x1: bzip, AES-256, MD5+SHA1 - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - Outros tipos de “Hashing” úteis na Forense: Fuzzy hashing | File block hash analysis | Entropy
Fuzzy Hashing - ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x context triggered piecewise hashes (CTPH)
Hashes - Entropy
File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
Algorítimos de Comparação de Vídeos Identificação/categorização de vídeos tolerante a mudança de: • Formato; • Cor; Brilho; Contraste; • Compressão; • Espelhamento; • Cortes; • Distorção; • Mudança de proporção; • Edições (~ 2 seg)
Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem ( Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications Applications Firewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação de Milhões de Eventos Diários
Monitoração de Infra-Estruturas Críticas (PLCs) 54
15/08/201 Inteligência para Investigações e apoio à Decisão 1 55
Foco de Atenção: Ênfase na *Ameaça* - Kill Chain – sequência de eventos para uma ameaça afetar um alvo: - Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto TBS – Time Based Security: Pt ~ Dt + Rt “Proteção requer detectar um ataque e reagir a Tempo”. Proteção = Tempo Detecção + Tempo Reação suficientes Exposição = Tempo Detecção + Tempo Reação tardios Conceito TBS:: Winn Schwartau diagramas: Mike Cloppert – Lockheed Martin
Evolução de um Ataque Temporalmente
Análise de Incidentes - TTPs Táticas, Técnicas, e Procedimentos Mike Cloppert – Lockheed Martin
Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Framework http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
Alguns casos – 2011 Heterogeneidade de Casos: • EBCDIC 3270 rede (fraude externa) • Solaris – adm (sabotagem) • Java boleto (fraude interna) • Invasão de site / vazamento de dados • Clipper – (fraude interna) • MSDOS 16bit - Video poker (Forças da Lei) • Sistema Web .NET + SQL Server (Fraude Votação)
Maturidade em Investigação Computacional
Desenvolvimento e Integração de Tecnologia
Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com

Recommandé

Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
Computação Forense
Computação ForenseComputação Forense
Computação ForenseClaudio Benossi
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAMaraLuizaGonalvesFre
 
Linux forensics
Linux forensicsLinux forensics
Linux forensicsSantosh Khadsare
 
Anti forensics-techniques-for-browsing-artifacts
Anti forensics-techniques-for-browsing-artifactsAnti forensics-techniques-for-browsing-artifacts
Anti forensics-techniques-for-browsing-artifactsgaurang17
 
Forensic artifacts in modern linux systems
Forensic artifacts in modern linux systemsForensic artifacts in modern linux systems
Forensic artifacts in modern linux systemsGol D Roger
 
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdfSEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdfannykaroline2Ainform
 

Recommandé

Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
Computação Forense
Computação ForenseComputação Forense
Computação ForenseClaudio Benossi
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAMaraLuizaGonalvesFre
 
Linux forensics
Linux forensicsLinux forensics
Linux forensicsSantosh Khadsare
 
Anti forensics-techniques-for-browsing-artifacts
Anti forensics-techniques-for-browsing-artifactsAnti forensics-techniques-for-browsing-artifacts
Anti forensics-techniques-for-browsing-artifactsgaurang17
 
Forensic artifacts in modern linux systems
Forensic artifacts in modern linux systemsForensic artifacts in modern linux systems
Forensic artifacts in modern linux systemsGol D Roger
 
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdfSEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdfannykaroline2Ainform
 
Computação forense
Computação forenseComputação forense
Computação forenseRamyres Aquino
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Anti forensic
Anti forensicAnti forensic
Anti forensicMilap Oza
 
Windows Forensic 101
Windows Forensic 101Windows Forensic 101
Windows Forensic 101Digit Oktavianto
 
Materi Pelatihan analisa malware
Materi Pelatihan analisa malwareMateri Pelatihan analisa malware
Materi Pelatihan analisa malwareSetia Juli Irzal Ismail
 
Windows Memory Forensic Analysis using EnCase
Windows Memory Forensic Analysis using EnCaseWindows Memory Forensic Analysis using EnCase
Windows Memory Forensic Analysis using EnCaseTakahiro Haruyama
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeNatanael Simões
 
Memory Forensics
Memory ForensicsMemory Forensics
Memory ForensicsAnshul Tayal
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsJared Greenhill
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Felipe Gulert Rodrigues
 
Forensic et réponse à incident - procédure (rattrapage module ESD)
Forensic et réponse à incident - procédure (rattrapage module ESD)Forensic et réponse à incident - procédure (rattrapage module ESD)
Forensic et réponse à incident - procédure (rattrapage module ESD)ESD Cybersecurity Academy
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfEdkallenn Lima
 
computer forensics
computer forensicscomputer forensics
computer forensicsAkhil Kumar
 
Windows forensic artifacts
Windows forensic artifactsWindows forensic artifacts
Windows forensic artifactsn|u - The Open Security Community
 
Reconnaissance & Scanning
Reconnaissance & ScanningReconnaissance & Scanning
Reconnaissance & Scanningamiable_indian
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseVaine Luiz Barreira, MBA
 
What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)Molfar
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer ForensicsOne97 Communications Limited
 
Penetration testing
Penetration testing Penetration testing
Penetration testing PTC
 
05 Duplication and Preservation of Digital evidence - Notes
05 Duplication and Preservation of Digital evidence - Notes05 Duplication and Preservation of Digital evidence - Notes
05 Duplication and Preservation of Digital evidence - NotesKranthi
 
Apresentação SegInfo
Apresentação SegInfoApresentação SegInfo
Apresentação SegInfoTechBiz Forense Digital
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 

Contenu connexe

Tendances

Anti forensic
Anti forensicAnti forensic
Anti forensicMilap Oza
 
Windows Memory Forensic Analysis using EnCase
Windows Memory Forensic Analysis using EnCaseWindows Memory Forensic Analysis using EnCase
Windows Memory Forensic Analysis using EnCaseTakahiro Haruyama
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeNatanael Simões
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsJared Greenhill
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Felipe Gulert Rodrigues
 
Forensic et réponse à incident - procédure (rattrapage module ESD)
Forensic et réponse à incident - procédure (rattrapage module ESD)Forensic et réponse à incident - procédure (rattrapage module ESD)
Forensic et réponse à incident - procédure (rattrapage module ESD)ESD Cybersecurity Academy
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfEdkallenn Lima
 
computer forensics
computer forensicscomputer forensics
computer forensicsAkhil Kumar
 
Reconnaissance & Scanning
Reconnaissance & ScanningReconnaissance & Scanning
Reconnaissance & Scanningamiable_indian
 
What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)Molfar
 
Penetration testing
Penetration testing Penetration testing
Penetration testing PTC
 
05 Duplication and Preservation of Digital evidence - Notes
05 Duplication and Preservation of Digital evidence - Notes05 Duplication and Preservation of Digital evidence - Notes
05 Duplication and Preservation of Digital evidence - NotesKranthi
 

Tendances (20)

Computação forense
Computação forenseComputação forense
Computação forense
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Anti forensic
Anti forensicAnti forensic
Anti forensic
 
Windows Forensic 101
Windows Forensic 101Windows Forensic 101
Windows Forensic 101
 
Materi Pelatihan analisa malware
Materi Pelatihan analisa malwareMateri Pelatihan analisa malware
Materi Pelatihan analisa malware
 
Windows Memory Forensic Analysis using EnCase
Windows Memory Forensic Analysis using EnCaseWindows Memory Forensic Analysis using EnCase
Windows Memory Forensic Analysis using EnCase
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de Rede
 
Memory Forensics
Memory ForensicsMemory Forensics
Memory Forensics
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
 
Forensic et réponse à incident - procédure (rattrapage module ESD)
Forensic et réponse à incident - procédure (rattrapage module ESD)Forensic et réponse à incident - procédure (rattrapage module ESD)
Forensic et réponse à incident - procédure (rattrapage module ESD)
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
 
computer forensics
computer forensicscomputer forensics
computer forensics
 
Windows forensic artifacts
Windows forensic artifactsWindows forensic artifacts
Windows forensic artifacts
 
Reconnaissance & Scanning
Reconnaissance & ScanningReconnaissance & Scanning
Reconnaissance & Scanning
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
 
What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensics
 
Penetration testing
Penetration testing Penetration testing
Penetration testing
 
05 Duplication and Preservation of Digital evidence - Notes
05 Duplication and Preservation of Digital evidence - Notes05 Duplication and Preservation of Digital evidence - Notes
05 Duplication and Preservation of Digital evidence - Notes
 

Similaire à "Desafios em Computação Forense e Resposta a Incidentes de Segurança"?

Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...FecomercioSP
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Sandro Suffert
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Rute1993
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011Rodrigo Antao
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasLuiz Sales Rabelo
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Notas sobre Segurança de Software
Notas sobre Segurança de SoftwareNotas sobre Segurança de Software
Notas sobre Segurança de SoftwareOrlando Junior
 

Similaire à "Desafios em Computação Forense e Resposta a Incidentes de Segurança"? (20)

Apresentação SegInfo
Apresentação SegInfoApresentação SegInfo
Apresentação SegInfo
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
 
Pentest cool
Pentest coolPentest cool
Pentest cool
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souza
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
SilverBullet Security Conference 2011
SilverBullet Security Conference 2011SilverBullet Security Conference 2011
SilverBullet Security Conference 2011
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
 
CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSP
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de Redes
 
Pentest
Pentest Pentest
Pentest
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Notas sobre Segurança de Software
Notas sobre Segurança de SoftwareNotas sobre Segurança de Software
Notas sobre Segurança de Software
 

Plus de SegInfo

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição SegInfo
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015SegInfo
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBSegInfo
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013SegInfo
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05SegInfo
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...SegInfo
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson BritoSegInfo
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de PaulaSegInfo
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...SegInfo
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...SegInfo
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...SegInfo
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraSegInfo
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasSegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por SegInfo
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas FerreiraSegInfo
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago BordiniSegInfo
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 

Plus de SegInfo (20)

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 

"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?

  • 1. Desafios em Computação Forense e Resposta a Incidentes de Segurança Sandro Süffert http://blog.suffert.com
  • 2. Equipamentos de Laboratórios de Perícia Computação Forense é só isto? Softwares de Duplicadores de Mídias Armazenamento Portátil Análise Pericial Computadores Especializados Mobile Forensics Aquisição em campo Bloqueadores de Escrita
  • 3. Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital: Perícia Criminal Segurança da Inf. Auditoria Anti-Fraude Inteligência Fiscalização Jurídico Defesa Cibernética Compliance
  • 4. Algumas modalidades de Forense Computacional Forense Post- Forense de Rede Forense Remota Forense Mortem • Redes Cabeadas • Conexão online Colaborativa • HDs, CDs, Pen- • Redes Sem Fio • Silenciosa • Múltiplas Drives, Disquetes, • Reconstrução de • Stealth Investigações etc Sessões • Múltiplos • Capacidade de • Telefones, GPS, Investigadores • Geração de obtenção de Tablets, etc • Interface de Metadados dados voláteis Investigação • Possibilidade de Amigável Remediação • Grupo Especialista
  • 5. Taxonomia: Evento>Ataque>Incidente>Crime INCIDENTE ATAQUE / VIOLAÇÃO EVENTO Resultado não Objetivos Agente Ferramentas Falha Ação Alvo autorizado Crime
  • 6. Dinâmicas de Incidentes ou “Crimes Digitais” Resultado Agente Ferramentas Falha Ação Alvo Objetivos não autorizado Hackers Ataque Físico Design Probe Contas Aumento níveis Dano de acesso Espiões Troca de Inf. Implementação Scan Processos Obtenção Ganho Terroristas Eng. Social Configuração Flood Dados informação Financeiro confidencial Vândalos Programas Autenticação Central Telefônica Corrupção de informação Ganho Político Voyeurs Toolkit Bypass Computadores Spoof Negação de Mercenários Interceptação Redes Locais Desafio, status Serviço Funcionários Ataque Leitura Redes WAN Distribuido Roubo de Cópia Recursos John D. Howard e Thomas A. Longstaff Roubo A Common Language for Computer Security Incidents Modificação http://www.cert.org/research/taxonomy_988667.pdf Remoção
  • 7. Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP 1)Timing, 11) Ferramentas, 2) Vítimas/Alvos, 12) Mecanismo de Persistência, 3) Origem, 13) Método de Propagação, 4) Mecanismo de Entrada, 14) Dados Alvo, 5) Vulnerabilidade ou Exposição, 15) Compactação de Dados, 6) Exploit ou Payload, 16) Modo de Extrafiltração, 7) Weaponization, 17) Atribuição Externa, 8) Atividade pós-exploração, 18) Grau de Profissionalismo, 9) Método de Comando e Controle, 19) Variedade de Técnicas utilizadas, 10) Servidores de Comando e Controle, 20) Escopo (R. Beitlich, M. Cloppert) Agente Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
  • 8. Diferentes Níveis de Importância Estratégica Diferentes Categorias de Agentes e Objetivos diagrama: - David Ross – GFIRST/Mandiant
  • 10. Exemplo de Processo de Investigação
  • 11. • CheckList de Abertura • Requisitar Autorização • Designar responsáveis • Preservação e Coleta • Acompanhamento • Efetuar • Inventário • Enviar para Análise
  • 12. Tratamento > Coleta Presencial
  • 13. Tratamento > Coleta Presencial
  • 14. Tratamento > Coleta Presencial • PADRONIZAR o processamento, gerando CONTROLE • MINIMIZAR ao máximo a PERDA de dados • EVITAR a CONTAMINAÇÃO de dados / informações
  • 16. INFORMAÇÃO sobre as FERRAMENTAS utilizadas • INFORMAÇÕES sobre a REDE • INFORMAÇÕES sobre a AQUISIÇÃO • INFORMAÇÕES sobre ARQUIVAMENTO
  • 17. Processo de Investigação Notificação Processos Forenses Triagem Tratamento Análise Relatório Encerramento Detecção Iniciar Análise Requisição Forense Reiniciar Dados [Não] Tratamento Suficientes? Encerramento Checklist de FORM06 [Sim] Abertura de Caso FORM-CAC FORM05 – Sanitizar mídias de Notas de Lab. Processos de Análise armazenamento temporário (trabalho) Requisitar FORM01 - Responder: Autorização Quem/O que?, Quando?, Onde?, Como?, Por que? Autorização Arquivar mídias de armazenamento Utilizar os processos de análise para obter as respostas longo (originais/ cópias backup) Renegociar Recuperação de Arquivos [Não] Autorizado? Análise de Emails Requisição Apagados Registrar/Comunicar [Sim] Análise de Documentos Análise de Hash o Término do caso Definir o que FORM02 - Análise de Artefatos Web Comparação de Baseline coletar Questionário Arquivar Documentação na Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso Processo de Remoto? [Não] Preencher ficha de Coleta Presencial acompanhamento gerencial Existe Informação Se obtidas, analisar [Sim] Abrir uma Nova relevância dos dados [Sim] Incriminante fora do Investigação levantados e escopo inicial? FORM10 relacionamento com Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar [Sim] Autoridades Externas? para Autoridades Instruções [Não] [Não] Mais Novos Alvos Requisitar Evidências a [Sim] Identificados? Informações Fim da [Sim] coletar? Investigação [Sim] [Não] [Não] FORM07 Necessário Inventariar [Não] Informações Suficientes Informações fora das [Não] para Concluir? permissões diretas do investigador? Iniciar Análise [Sim] Preparar Relatório
  • 18. Resposta a Incidentes e Forense Computacional – Abordagem Híbrida “Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
  • 19. Cyber Segurança – uma crise de priorização NCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
  • 20. Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
  • 21.
  • 22. Pessoas: A crise de capital humano em CiberSegurança
  • 23. Alguns Desafios em Perícia Computacional e Resposta a Incidentes 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados
  • 24. Desafios Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: - Lei de Moore -> número de transistores de chips dobram a cada 18 meses - Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses - velocidade de acesso à disco (I/O) não cresce tão rapidamente.. - maioria dos hds possuem mais de um milhão de itens - indexação, carving, análise de assinatura
  • 25. 1 – aumento do tamanho das mídias (HDs) Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
  • 26. 1 – aumento do tamanho das mídias (HDs) Discos: aumento de +576%. Estações de Trabalho: +29,7% PDA/Blackberry/Assemelhados: +859%
  • 27. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados a serem analisadas: - Análise de discos de Estado Sólido (SSD) - Análise de mídias removíveis - Análise de computadores remotos - Análise de memória - Análise de sessões de rede - Análise de registros/logs/BD - Análise de dispositivos móveis (celulares, tablets, gps) - outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
  • 28. 2 – aumento das fontes de dados + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • 29. Outras Fontes de Dados: Análise de Memória – ex 1 (pdgmail.py)
  • 30. Outras Fontes de Dados: Análise de Memória – ex 2 (Ftk 3.x)
  • 31. Outras Fontes de Dados: Análise de Memória – ex 3 (HBGary Responder)
  • 32. Outras Fontes de Dados Análise de Sessões de Rede
  • 33. Outras Fontes de Dados Análise de Sessões de Rede – ex. 4
  • 34. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) a serem analisadas: 2 – aumento das fontes de dados a serem analisadas: 3 – necessidade de adequação diante de novidades tecnológicas - Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, .. - Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..) - Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade - Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
  • 35. Novidades Tecnológicas: Novos sistemas operacionais – ex 1 (Win 7) Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist Windows XP – UserAssist: Cifra - ROT13 (A->N, B->O, ...) Inicia o contador em 5. Windows 7/2008 beta – UserAssist: Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 – UserAssist: Cifra – ROT13 / inicia o contador em 0.
  • 36. Novidades Tecnológicas: Novos sistemas de arquivo – ex 2 (ext4) Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242. Suporte completo a ext4: FTK 3.3 e Encase 7
  • 37. Motivadores de Avanços Tecnológicos 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: - Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle - Aquisição Remota: dados voláteis, memória, discos, artefatos específicos - Processamento Distribuído: DNA -> FTK 3.x -> AD LAB - Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) - Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
  • 38. 4 - Melhoria de Performance BackEnd Oracle / Processamento Distribuído – AD LAB
  • 39. 4 - Melhoria de Performance CriptoAnálise – FRED-SC + EDPR - CUDA
  • 40. Avanços Tecnológicos - Triagem 1 – aumento do tamanho das mídias 2 – aumento das fontes de dados 3 – adequação diante de novidades tecnológicas 4 – melhorias de performance de ferramentas: 5 – melhor triagem antes da coleta de dados - Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform - Na ponta – Encase Portable - Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
  • 41. 5 – Melhoria na Triagem: ex 1 – em campo EnCase Portable USB – 4GB PenDrive/Disco – 1 Gb- > 2Tb 4-Port USB Dongle / (Security key) Hub
  • 42. 5 – Melhoria na Triagem: ex 2 – em campo
  • 43. 5 – Melhoria na Triagem: ex 3 – remota Servlets Installed on Computers
  • 44. Forense Remota / Remediação Auditoria Logical ResultLog Evidence File • Quem? • Garantia de • Existência ou não integridade de arquivos • Quando? • Materialização de responsivos • Onde? prova •Tamanho reduzido
  • 45. Avanços Tecnológicos 1– aumento do tamanho das mídias 2– aumento das fontes de dados 3– novidades tecnológicas 4– melhorias de performance de ferramentas 5– melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise - hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis - indexação de textos em imagens (OCR); Novos algorítimos de análise - Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
  • 46. Evolução de Técnicas de Análise - Hashes Uso de Hashes Criptográficos - Arquivos de Evidência .e01 vs .dd: - E0x1,L0x1: bzip, AES-256, MD5+SHA1 - arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) - Outros tipos de “Hashing” úteis na Forense: Fuzzy hashing | File block hash analysis | Entropy
  • 47. Fuzzy Hashing - ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net - FTK 3.x context triggered piecewise hashes (CTPH)
  • 49. File Block Hash Analysis https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
  • 50. Algorítimos de Comparação de Vídeos Identificação/categorização de vídeos tolerante a mudança de: • Formato; • Cor; Brilho; Contraste; • Compressão; • Espelhamento; • Cortes; • Distorção; • Mudança de proporção; • Edições (~ 2 seg)
  • 51. Avanços Tecnológicos 1 – aumento do tamanho das mídias (HDs) 2 – aumento das fontes de dados 3 – novidades tecnológicas 4 – melhorias de performance de ferramentas 5 – melhor triagem antes da coleta de dados 6 – evolução de técnicas de análise 7 – melhorias na taxonomia e compartilhamento de dados - Taxonomia Incidentes - Atribuição de Origem ( Táticas, Técnicas e Procedimentos) - Indicadores de Comprometimento - OpenIOC - Framework de Compartilhamento de dados - VerIS
  • 52. Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
  • 53. Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência Applications Applications Applications Applications Firewalls Firewalls Intrusion Applications Applications Anti Firewalls Firewalls Firewalls/ Vulnerability Equipamentos SO de Servers e Applications Applications Anti Bancos de Firewalls Detection Anti-Virus Applications Aplicações Virus Virus VPN Assessment De Rede Desktop Dados Systems Sign-On Gerenciamento Sign-On Serviços de Atributos de Infraestrutura Processos de Mainframes De Identidade Diretório Usuários Física Negócio Correlação de Milhões de Eventos Diários
  • 54. Monitoração de Infra-Estruturas Críticas (PLCs) 54
  • 56. Foco de Atenção: Ênfase na *Ameaça* - Kill Chain – sequência de eventos para uma ameaça afetar um alvo: - Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto TBS – Time Based Security: Pt ~ Dt + Rt “Proteção requer detectar um ataque e reagir a Tempo”. Proteção = Tempo Detecção + Tempo Reação suficientes Exposição = Tempo Detecção + Tempo Reação tardios Conceito TBS:: Winn Schwartau diagramas: Mike Cloppert – Lockheed Martin
  • 57. Evolução de um Ataque Temporalmente
  • 58. Análise de Incidentes - TTPs Táticas, Técnicas, e Procedimentos Mike Cloppert – Lockheed Martin
  • 59. Indicators of Compromise - OpenIOC http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
  • 60. Táticas, Técnicas e Procedimentos VerIS – Incident Sharing - Framework http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
  • 61. Alguns casos – 2011 Heterogeneidade de Casos: • EBCDIC 3270 rede (fraude externa) • Solaris – adm (sabotagem) • Java boleto (fraude interna) • Invasão de site / vazamento de dados • Clipper – (fraude interna) • MSDOS 16bit - Video poker (Forças da Lei) • Sistema Web .NET + SQL Server (Fraude Votação)
  • 64. Obrigado! Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com