-‐ Não cifra
-‐ Inicia contador em 0
-‐ Registra data/hora da última execução
-‐ Conta execuções separadamente por usuário
Novas informações:
-‐ Última data/hora de execução
-‐ Contagem por usuário
-‐ Sem cifração
Fonte: http://www.forensicswiki.org/wiki/UserAssist_Registry_Keys
Novidades Tecnológicas:
Novos sistemas de arquivos ex 2 (ext4)
-‐ ext4 introduzido no Linux Kernel 2.6.28 (dez/2008)
1. Desafios em Computação Forense
e Resposta a Incidentes de Segurança
Sandro Süffert
http://blog.suffert.com
2. Equipamentos de Laboratórios de Perícia
Computação Forense é só isto?
Softwares de Duplicadores de Mídias
Armazenamento Portátil Análise Pericial
Computadores
Especializados Mobile Forensics
Aquisição em campo
Bloqueadores de Escrita
3. Áreas usuárias de Tecnologias de
Computação Forense e Investigação Digital:
Perícia Criminal Segurança da Inf. Auditoria
Anti-‐Fraude Inteligência Fiscalização
Jurídico Defesa Cibernética Compliance
4. Algumas modalidades de
Forense Computacional
Forense Post-‐ Forense de Rede Forense Remota Forense
Mortem Redes Cabeadas Conexão online Colaborativa
HDs, CDs, Pen-‐ Redes Sem Fio Silenciosa Múltiplas
Drives, Disquetes, Reconstrução de Stealth Investigações
etc Sessões Múltiplos
Capacidade de
Telefones, GPS, Investigadores
Geração de obtenção de
Tablets, etc Interface de
Metadados dados voláteis
Investigação
Possibilidade de Amigável
Remediação Grupo Especialista
6. Dinâmicas de
Resultado
Agente Ferramentas Falha Ação Alvo Objetivos
não autorizado
Hackers Ataque Físico Design Probe Contas Aumento níveis Dano
de acesso
Espiões Troca de Inf. Implementação Scan Processos
Obtenção Ganho
Terroristas Eng. Social Configuração Flood Dados informação Financeiro
confidencial
Vândalos Programas Autenticação Central Telefônica
Corrupção de
informação Ganho Político
Voyeurs Toolkit Bypass Computadores
Spoof Negação de
Mercenários Interceptação Redes Locais Desafio, status
Serviço
Funcionários Ataque Leitura Redes WAN
Distribuido Roubo de
Cópia Recursos
John D. Howard e Thomas A. Longstaff
Roubo
A Common Language for Computer Security Incidents
Modificação
http://www.cert.org/research/taxonomy_988667.pdf
Remoção
7. Atribuição de Autoria/Responsabilidade
Muito além da identificação de endereços IP
1)Timing, 11) Ferramentas,
2) Vítimas/Alvos, 12) Mecanismo de Persistência,
3) Origem, 13) Método de Propagação,
4) Mecanismo de Entrada, 14) Dados Alvo,
5) Vulnerabilidade ou Exposição, 15) Compactação de Dados,
6) Exploit ou Payload, 16) Modo de Extrafiltração,
7) Weaponization, 17) Atribuição Externa,
8) Atividade pós-‐exploração, 18) Grau de Profissionalismo,
9) Método de Comando e Controle, 19) Variedade de Técnicas utilizadas,
10) Servidores de Comando e Controle, 20) Escopo
(R. Beitlich, M. Cloppert)
Agente
Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
8. Diferentes Níveis de Importância Estratégica
Diferentes Categorias de Agentes e Objetivos
diagrama: - David Ross GFIRST/Mandiant
14. Tratamento > Coleta Presencial
PADRONIZAR o
processamento, gerando
CONTROLE
MINIMIZAR ao máximo a
PERDA de dados
EVITAR a
CONTAMINAÇÃO de
dados / informações
16. INFORMAÇÃO sobre as
FERRAMENTAS utilizadas
INFORMAÇÕES sobre a REDE
INFORMAÇÕES sobre a
AQUISIÇÃO
INFORMAÇÕES sobre
ARQUIVAMENTO
17. Processo de Investigação
Notificação
Processos Forenses
Triagem Tratamento Análise Relatório Encerramento
Detecção
Iniciar Análise
Requisição
Forense Reiniciar Dados
[Não]
Tratamento Suficientes?
Encerramento
Checklist de FORM06
[Sim]
Abertura de Caso FORM-CAC FORM05
Sanitizar mídias de
Notas de Lab.
Processos de Análise armazenamento
temporário (trabalho)
Requisitar FORM01 - Responder:
Autorização Autorização Quem/O que?, Quando?, Onde?, Como?, Por que?
Arquivar mídias de
armazenamento
Utilizar os processos de análise para obter as respostas longo (originais/
cópias backup)
Renegociar Recuperação de Arquivos
[Não] Autorizado? Análise de Emails
Requisição Apagados
Registrar/Comunicar
[Sim] Análise de Documentos Análise de Hash o Término do caso
Definir o que FORM02 -
Análise de Artefatos Web Comparação de Baseline
coletar Questionário Arquivar
Documentação na
Análise de Artefatos de SO Outras Análises Específicas Pasta do Caso
Processo de
Remoto? [Não] Preencher ficha de
Coleta Presencial
acompanhamento
gerencial
Existe Informação Se obtidas, analisar
[Sim] Abrir uma Nova relevância dos dados
[Sim] Incriminante fora do
Investigação levantados e
escopo inicial?
FORM10 relacionamento com
Coleta Remota FORM11 dados atuais Necessário Acionar Enviar Informações Aguardar
[Sim]
Autoridades Externas? para Autoridades Instruções
[Não]
[Não]
Mais Novos Alvos Requisitar
Evidências a [Sim] Identificados? Informações Fim da
[Sim]
coletar? Investigação
[Sim]
[Não] [Não]
FORM07 Necessário
Inventariar [Não]
Informações Suficientes Informações fora das
[Não]
para Concluir? permissões diretas do
investigador?
Iniciar
Análise [Sim]
Preparar
Relatório
23. Alguns Desafios em Perícia
Computacional e Resposta a Incidentes
1 aumento do tamanho das mídias
2 aumento das fontes de dados
3 novidades tecnológicas
4 melhorias de performance de ferramentas
5 melhor triagem antes da coleta de dados
6 evolução de técnicas de análise
7 melhorias na taxonomia e compartilhamento de dados
24. Desafios Tecnológicos
1 aumento do tamanho das mídias (HDs) a serem analisadas:
-‐ Lei de Moore -‐> número de transistores de chips dobram a cada 18 meses
-‐ Lei de Kryder -‐> discos rígidos dobram de tamanho a cada 18 a 24 meses
-‐ velocidade de acesso à disco (I/O) não cresce tão rapidamente..
-‐ maioria dos hds possuem mais de um milhão de itens
-‐ indexação, carving, análise de assinatura
25. 1 aumento do tamanho das mídias (HDs)
Fonte: Han-‐Kwang Nienhuys http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
26. 1 aumento do tamanho das mídias (HDs)
Discos: aumento de +576%.
Estações de Trabalho: +29,7%
PDA/Blackberry/Assemelhados: +859%
27. Motivadores de Avanços Tecnológicos
1 aumento do tamanho das mídias (HDs)
2 aumento das fontes de dados a serem analisadas:
-‐ Análise de discos de Estado Sólido (SSD)
-‐ Análise de mídias removíveis
-‐ Análise de computadores remotos
-‐ Análise de memória
-‐ Análise de sessões de rede
-‐ Análise de registros/logs/BD
-‐ Análise de dispositivos móveis (celulares, tablets, gps)
-‐ outros: ebook readers, mp3 players, GPS,video-‐games, TVs, ...
28. 2 aumento das fontes de dados
+ d a d o s + c o m p l e x i d a d e
HD: Bit Byte Setor Cluster Arquivo
1 8bits 512B 8 setores / 4kb 1-‐n clusters
Memória: Bit Byte Página Thread Processo
1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão
1 8bits n bytes n pacotes n streams
34. Motivadores de Avanços Tecnológicos
1 aumento do tamanho das mídias (HDs) a serem analisadas:
2 aumento das fontes de dados a serem analisadas:
3 necessidade de adequação diante de novidades tecnológicas
-‐ Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, ..
-‐ Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..)
-‐ Mobile Forensics ex: variedade de S.Os, aplicações e conectividade
-‐ Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
35. Novidades Tecnológicas:
Novos sistemas operacionais ex 1 (Win 7)
Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist
Windows XP UserAssist:
Cifra -‐ ROT13 (A-‐>N, B-‐>O, ...)
Inicia o contador em 5.
Windows 7/2008 beta UserAssist:
Cifra Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)
Windows 7/2008 UserAssist:
Cifra ROT13 / inicia o contador em 0.
36. Novidades Tecnológicas:
Novos sistemas de arquivo ex 2 (ext4)
Análise dos metadados de MAC Times (Modificação, Acesso e Criação)
Unix Millenium Bug (Y2K38) -‐ até ext3 32 bit signed integer
Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time
Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901)
bits: 1111111111111111111111111111111
ext4 lançado em 25 de dezembro de 2008, estende timestamps para
nanoseg (10-‐9) e + 2 bits foram adicionados ao campo dos segundos do
Suporte completo a ext4: FTK 3.3 e Encase 7
37. Motivadores de Avanços Tecnológicos
1 aumento do tamanho das mídias
2 aumento das fontes de dados
3 adequação diante de novidades tecnológicas
4 melhorias de performance de ferramentas:
-‐ Uso de Banco de Dados como BackEnd: ECC -‐ MSSQL/ FTK 3.x Oracle
-‐ Aquisição Remota: dados voláteis, memória, discos, artefatos específicos
-‐ Processamento Distribuído: DNA -‐> FTK 3.x -‐> AD LAB
-‐ Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
-‐ Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
38. 4 -‐ Melhoria de Performance
BackEnd Oracle / Processamento Distribuído AD
LAB
39. 4 -‐ Melhoria de Performance
CriptoAnálise FRED-‐SC + EDPR -‐ CUDA
40. Avanços Tecnológicos -‐ Triagem
1 aumento do tamanho das mídias
2 aumento das fontes de dados
3 adequação diante de novidades tecnológicas
4 melhorias de performance de ferramentas:
5 melhor triagem antes da coleta de dados
-‐ Remota FTK 3.x/AD Enterprise, Encase FIM/Platform
-‐ Na ponta Encase Portable
-‐ Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
41. 5 Melhoria na Triagem: ex 1 em campo
EnCase
Portable
USB 4GB
PenDrive/Disco 1 Gb- > 2Tb
4-Port USB
Dongle / (Security key) Hub
43. 5 Melhoria na Triagem: ex 3 remota
Servlets Installed
on Computers
44. Forense Remota / Remediação
Auditoria Logical ResultLog
Evidence File
Quem? Garantia de Existência ou não
integridade de arquivos
Quando?
Materialização de responsivos
Onde?
prova
Tamanho reduzido
45. Avanços Tecnológicos
1 aumento do tamanho das mídias
2 aumento das fontes de dados
3 novidades tecnológicas
4 melhorias de performance de ferramentas
5 melhor triagem antes da coleta de dados
6 evolução de técnicas de análise
-‐ hashing: MD5/SHA1 -‐> ssdeep/fuzzy -‐> entropy -‐> file block hash analysis
-‐ indexação de textos em imagens (OCR); Novos algorítimos de análise
-‐ Super Timelines (Enscripts + log2timeline Kristinn Guðjónsson):
Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV /
OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira /
Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
46. Evolução de Técnicas de Análise -‐ Hashes
Uso de Hashes Criptográficos
-‐ Arquivos de Evidência .e01 vs .dd:
-‐ E0x1,L0x1: bzip, AES-‐256, MD5+SHA1
-‐ arquivos (md5/sha1/sha256):
whitelisting (NIST NSRL / AD KFF)
blacklisting (Bit9, Gargoyle)
-‐ :
Fuzzy hashing | File block hash analysis | Entropy
50. Algorítimos de Comparação de Vídeos
Identificação/categorização de vídeos
tolerante a mudança de:
Formato;
Cor; Brilho; Contraste;
Compressão;
Espelhamento;
Cortes;
Distorção;
Mudança de proporção;
Edições (~ 2 seg)
51. Avanços Tecnológicos
1 aumento do tamanho das mídias (HDs)
2 aumento das fontes de dados
3 novidades tecnológicas
4 melhorias de performance de ferramentas
5 melhor triagem antes da coleta de dados
6 evolução de técnicas de análise
7 melhorias na taxonomia e compartilhamento de dados
-‐ Taxonomia Incidentes
-‐ Atribuição de Origem ( Táticas, Técnicas e Procedimentos)
-‐ Indicadores de Comprometimento -‐ OpenIOC
-‐ Framework de Compartilhamento de dados -‐ VerIS
53. Correlação de Eventos para apoio à Decisão
T.I/S.I./Fraude/Auditoria/Inteligência
Applications
Applications
Applications
Applications
Firewalls
Firewalls Intrusion Applications
Applications Anti
Firewalls
Firewalls
Firewalls/ Vulnerability Equipamentos SO de Servers e Applications
Applications Anti
Bancos de
Firewalls Detection Anti-Virus Applications
Aplicações Virus
Virus
VPN Assessment De Rede Desktop Dados
Systems
Sign-On
Gerenciamento
Sign-On Serviços de Atributos de Infraestrutura Processos de
Mainframes
De Identidade Diretório Usuários Física Negócio
Correlação de Milhões de Eventos Diários
56. Foco de Atenção: Ênfase na *Ameaça*
-‐ Kill Chain sequência de eventos para uma ameaça afetar um alvo:
-‐ Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto
TBS Time Based Security: Pt ~ Dt + Rt
Proteção = Tempo Detecção + Tempo Reação suficientes
Exposição = Tempo Detecção + Tempo Reação tardios
Conceito TBS:: Winn Schwartau
diagramas: Mike Cloppert Lockheed Martin
61. Alguns casos 2011
Heterogeneidade de Casos:
EBCDIC 3270 rede (fraude externa)
Solaris adm (sabotagem)
Java boleto (fraude interna)
Invasão de site / vazamento de dados
Clipper (fraude interna)
MSDOS 16bit -‐ Video poker (Forças da Lei)
Sistema Web .NET + SQL Server (Fraude Votação)